Tyske selskaber idømt bøde for Safe Harbor-overførsler

17 juni 2016

Det tyske datatilsyn i Hamborg idømte mandag den 6. juni 2016 tre tyske selskaber bøder for i alt 28.000 euro for overførsler af persondata til USA på baggrund af Safe Harbor-ordningen. Safe Harbor-ordningen blev af EU-domstolen ugyldiggjort tilbage i oktober 2015.

De ulovlige overførsler blev opdaget i forbindelse med Hamborgs datatilsyns undersøgelse af 35 internationale virksomheder med selskaber lokaliseret i Hamborg. Tilsynet kunne konstatere, at langt de fleste virksomheder i løbet den såkaldte grace period (tre måneder hvor virksomhederne havde tid til at få etableret et andet overførselsgrundlag) var gået over til Kommissionens standardkontrakter som overførselsgrundlag.

Dog foretog tre selskaber stadigvæk, 6 måneder efter underkendelsen af Safe Harbor-ordningen, overførsler baseret på Safe Harbor. Der var tale om en IT-virksomhed og to fødevareproducenter. Virksomhederne blev idømt bøder på hhv. 8.000, 9.000 og 11.000 euro.

Bødernes størrelse og dermed den afskrækkende effekt kan imidlertid virke begrænset i forhold til virksomhedernes størrelse, men databeskyttelseskommissæren for Hamborg udtalte i den forbindelse, at virksomhederne efterfølgende havde implementeret korrekte overførelsesgrundlag, hvilket blev taget i betragtning ved fastsættelsen af bødernes størrelse.

Kommissæren indskærpede dog samtidigt, at fremtidige overtrædelser ville blive bedømt betydeligt strengere (hvorvidt Kommissæren her henviser til den kommende forordning, vides ikke).

Afløseren for Safe Harbor, EU US Privacy Shield, skulle efter planen være vedtaget i juni 2016, men er løbet ind i vanskeligheder i form af kritik fra bl.a. Artikel 29-gruppen og Parlamentet. Det er derfor endnu uvist, hvornår en endelig afløser kommer på plads.

Selv standardkontrakter – det hyppigst anvendte grundlag for overførsel til tredjelande – sættes nu under lup. Maximillian Schrems, som indgav klagen, der førte til underkendelsen af Safe Harbor-beslutningen, fastholder nemlig, at den eneste måde at sikre privatlivets fred ved overførsel af oplysninger til USA er en ændring af amerikansk lovgivning. Standardkontrakterne ændrer ifølge Schrems ikke på dette faktum. Derfor forelægger det irske datatilsyn nu den irske High Court spørgsmålet om, hvorvidt standardkontrakterne udgør et tilstrækkeligt sikkert overførselsgrundlag efter europæisk databeskyttelsesret.

Den irske High Courts afgørelse, og hvorvidt retten vil forelægge spørgsmålet for EU-domstolen, afventes fortsat. Indtil da vil standardkontrakterne dog stadig være det mest brugbare overførelsesgrundlag.