Schmerzensgeld für Nutzer?

Dabei verweist die Berliner Datenschutzbeauftragte auf Randnummer 143 des EuGH-Urteils, wonach bei Verstößen gegen die Standarddatenschutzklauseln den Betroffenen ein Anspruch auf Schadenersatz zusteht. "Dieser dürfte insbesondere den immateriellen Schaden ('Schmerzensgeld') umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen", sagt Smoltczyk laut Pressemitteilung (PDF). Die EU-Datenschutz-Grundverordnung (DSGVO) sieht zudem Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes vor.

Stellenmarkt

1. Merz Pharma GmbH & Co. KGaA, Frankfurt am Main
2. ROSE Systemtechnik GmbH, Hohenlockstedt

Ihr Resümee: "Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen."

Ermessensspielraum der Datenschützer

Doch nicht jede Datenschutzbehörde in Deutschland geht so weit wie Berlin. Zwar ist auch der Hamburger Datenschutzbeauftragte Johannes Caspar der Ansicht, dass nun die Datenschutzbehörden am Zug sind. Sie seien verpflichtet, jeder Beschwerde in der Sache nachzugehen, ohne dass es eine Übergangsphase gebe. Auch ohne individuelle Beschwerde können die Aufsichtsbehörden tätig werden. "Dabei liegt es jedoch in ihrem Ermessen, zunächst auf Änderungen hinzuwirken, ohne Anordnungen oder Bußgelder zu erlassen, wenn Unternehmen nachvollziehbar darlegen, aus welchen Gründen sie noch einige Zeit benötigen, um die Gerichtsentscheidung umzusetzen", sagte Caspar auf Anfrage von Golem.de.

Problematisch sei, dass die Standardvertragsklauseln nach dem Aus des Privacy Shields nun selbst mit einer großen Rechtsunsicherheit behaftet seien. Das EuGH-Urteil lasse leider offen, unter welchen Bedingungen der Datenschutz gegenüber Zugriffen der US-Regierung hergestellt werden könne.

Keine einfache Antwort zu erwarten

Wäre es daher nicht sinnvoll, wenn wichtige Gremien wie die deutsche Datenschutzkonferenz (DSK) oder der Europäische Datenschutzausschuss (EDSA) sich darauf einigen könnten, wie das Urteil konkret umzusetzen ist?

Caspar muss diese Hoffnung leider enttäuschen: "Diese Frage wird in apodiktischer Kürze weder durch die DSK noch durch den EDSA zu entscheiden sein - mit negativen Konsequenzen für die so lange fehlende Rechtssicherheit." Neben den Extrempositionen, wonach Standardvertragsklauseln in gar keinem Fall mehr relevant sein können, bis hin zu der Auffassung, dass Standardvertragsklauseln weiterhin wie bisher eingesetzt werden können, gebe es aber auch viele vermittelnde Standpunkte. Daher bleibe ein "konsolidiertes Vorgehen der europäischen und deutschen Datenschutzaufsicht besonders wichtig".

Wie soll das anhand der divergierenden Positionen aussehen?