Schonfrist vorbei Datenschützer will Safe-Harbor-Sünder zu Bußgeldern verdonnern

Safe Harbor gilt nicht mehr. Trotzdem berufen sich noch Unternehmen auf die alten Regeln zum transatlantischen Datenaustausch. Hamburgs oberster Datenschützer will das nun ahnden.

Hamburgs Datenschutzbeauftragter Johannes Caspar: Bußgeld von bis zu 300.000 Euro
DPA

Hamburgs Datenschutzbeauftragter Johannes Caspar: Bußgeld von bis zu 300.000 Euro

Von


Die Schonfrist für Unternehmen ist abgelaufen, zumindest in Hamburg: Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat angekündigt, dass seine Behörde Bußgelder gegen Firmen verhängen wird, die sich immer noch auf Safe Harbor berufen.

Diese Regeln für den Austausch von Daten mit den USA sind seit einem Urteil nicht mehr gültig. "Wir prüfen gegenwärtig die Einleitung von Bußgeldverfahren gegen drei Unternehmen", sagte Caspar SPIEGEL ONLINE. Zuvor hatte bereits das "Handelsblatt" über Caspars Pläne berichtet.

Bei zwei weiteren Firmen werde die Sachlage noch geprüft. Auch ihnen könnten Bußgelder von bis zu 300.000 Euro drohen. "Ich hatte nicht erwartet, dass Unternehmen jetzt noch ohne Rechtsgrundlage Daten in die USA übermitteln", sagte Caspar weiter. "Das ist gerade, wenn man sich vor Augen führt, dass es sich dabei um international aufgestellte Unternehmen handelt, verwunderlich."

Im Oktober hatte der Gerichtshof der Europäischen Union geurteilt, dass die bisher geltende Regelung zum transatlantischen Austausch von Daten ungültig ist. Zur Begründung hieß es, die persönlichen Daten europäischer Internetnutzer seien in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt.

Es folgte eine Übergangszeit, damit Unternehmen sich auf die neue rechtliche Situation einstellen konnten. Viele der Firmen haben sich zum Beispiel nach dem Ende von Safe Harbor mit Standardvertragsklauseln oder verbindlichen Unternehmensregelungen (Binding Corporate Rules) beholfen, auch wenn deren Rechtmäßigkeit zwischenzeitlich ebenfalls angezweifelt wurde.

Im Februar hat die EU-Kommission verkündet, dass man sich nach langem Hin und Her mit den USA einig sei über eine Nachfolge-Regelung für Safe Harbor. Der neue, höchst umstrittene "Privatsphäre-Schild" ist zwar angekündigt, aber es gibt noch keine schriftliche Vereinbarung.

Um welche Firmen es geht, verrät Caspar nicht

In Hamburg hatte Datenschützer Caspar unterdessen die 35 Unternehmen in seinem Zuständigkeitsbereich zunächst angeschrieben und über das Aus für Safe Harbor informiert. Das war im November. Später verschickte er Fragebögen, um sich zu informieren, wie die internationalen Unternehmen wie zum Beispiel Facebook ihren Datenaustausch mit den USA nun regeln wollen. Der Stichtag für die Firmenantworten war der 15. Februar. Einige Unternehmen beantragten eine Fristverlängerung.

Durch die Antworten, die die Behörde schon bekommen hat, hat sich laut Caspar bereits Handlungsbedarf ergeben. Um welche drei beziehungsweise fünf Unternehmen es geht, wollte Caspar nicht sagen. Zuerst müsse er direkt mit den Firmen in Kontakt treten. "Es handelt sich um große, international tätige Unternehmen, bei denen man davon ausgeht, dass sie umfassend datenschutzrechtlich beraten werden und die wissen, dass Safe Harbor nicht mehr gilt", sagte Caspar. "Unsere Frist war bekannt."

Als nächstes wird es Anhörungsverfahren für die betroffenen Firmen geben. Für manche Firmen sei das vielleicht noch keine wirksame Drohkulisse, mutmaßt Caspar. "Es gibt wohl Firmen, die die Lage nicht ernst zu nehmen scheinen oder offenbar bereit sind, Bußgelder in Kauf zu nehmen."

Auch in anderen Bundesländern können Safe-Harbor-Verstöße von Unternehmen geahndet werden. Dort ist aber eine andere Datenschutzbehörde zuständig.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
ackergold 24.02.2016
1.
Das ist sicher ein positives Vorgehen. Ohne Rechtsgrundlage gibt es keine Rechtmäßigkeit und der Datenschutz ist bindend. Wenn die Unternehmen bewußt Rechtsbrüche begehen und entsprechende Geldstrafen einkalkuliert werden, dann kann man als rechtschaffener Bürger daraus nur eines folgern: Die Geldstrafen sind bei weitem noch nicht hoch genug. Erst wenn es in den Millionenbereich geht und auch Lizenzen entzogen werden, tut eine Strafe offenbar so weh, dass man den Rechtsbruch abstellt.
brooklyner 24.02.2016
2.
Da fehlen (leider nicht) drei Nullen an der Höhe der Strafe. Der Betrag ist absolut läöcherlich, weil er keinem international aufgestelltem Unternehmen in irgendeiner Weise weh tut.
WwdW 24.02.2016
3. Datenbestände trennen
Das Problem das die Firmen nun haben ist eine Trennung der Datenbestände herbeizuführen und eigene Dateverarbeitende Systeme in Europa dafür aufzubauen. Aus meiner Erfahrung heraus kann das alles zwischen 5-6 Wochen oder mehreren Jahren dauern. Speziell die eigenen Datenbestände der eigenen Mitarbeiter ...
sverris 24.02.2016
4.
Gute Aktion. Die Strafen sollten allerdings schnell höher ausfallen.
ex_Kamikaze 24.02.2016
5. Besser als nichts tun,
aber bei kleinen Bürgern geht das viel schneller. Da greifen unsere Ämter viel schneller und bedrohlicher zu - und mit viel kürzeren Fristen!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.