Schonfrist vorbei Datenschützer will Safe-Harbor-Sünder zu Bußgeldern verdonnern

Safe Harbor gilt nicht mehr. Trotzdem berufen sich noch Unternehmen auf die alten Regeln zum transatlantischen Datenaustausch. Hamburgs oberster Datenschützer will das nun ahnden.
Hamburgs Datenschutzbeauftragter Johannes Caspar: Bußgeld von bis zu 300.000 Euro

Hamburgs Datenschutzbeauftragter Johannes Caspar: Bußgeld von bis zu 300.000 Euro

Foto: Maja Hitij/ dpa

Die Schonfrist für Unternehmen ist abgelaufen, zumindest in Hamburg: Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat angekündigt, dass seine Behörde Bußgelder gegen Firmen verhängen wird, die sich immer noch auf Safe Harbor berufen.

Diese Regeln für den Austausch von Daten mit den USA sind seit einem Urteil nicht mehr gültig. "Wir prüfen gegenwärtig die Einleitung von Bußgeldverfahren gegen drei Unternehmen", sagte Caspar SPIEGEL ONLINE. Zuvor hatte bereits das "Handelsblatt" über Caspars Pläne berichtet.

Bei zwei weiteren Firmen werde die Sachlage noch geprüft. Auch ihnen könnten Bußgelder von bis zu 300.000 Euro drohen. "Ich hatte nicht erwartet, dass Unternehmen jetzt noch ohne Rechtsgrundlage Daten in die USA übermitteln", sagte Caspar weiter. "Das ist gerade, wenn man sich vor Augen führt, dass es sich dabei um international aufgestellte Unternehmen handelt, verwunderlich."

Im Oktober hatte der Gerichtshof der Europäischen Union geurteilt, dass die bisher geltende Regelung zum transatlantischen Austausch von Daten ungültig ist. Zur Begründung hieß es, die persönlichen Daten europäischer Internetnutzer seien in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt.

Es folgte eine Übergangszeit, damit Unternehmen sich auf die neue rechtliche Situation einstellen konnten. Viele der Firmen haben sich zum Beispiel nach dem Ende von Safe Harbor mit Standardvertragsklauseln oder verbindlichen Unternehmensregelungen (Binding Corporate Rules) beholfen, auch wenn deren Rechtmäßigkeit zwischenzeitlich ebenfalls angezweifelt wurde.

Im Februar hat die EU-Kommission verkündet, dass man sich nach langem Hin und Her mit den USA einig sei über eine Nachfolge-Regelung für Safe Harbor. Der neue, höchst umstrittene "Privatsphäre-Schild" ist zwar angekündigt, aber es gibt noch keine schriftliche Vereinbarung.

Um welche Firmen es geht, verrät Caspar nicht

In Hamburg hatte Datenschützer Caspar unterdessen die 35 Unternehmen in seinem Zuständigkeitsbereich zunächst angeschrieben und über das Aus für Safe Harbor informiert. Das war im November. Später verschickte er Fragebögen, um sich zu informieren, wie die internationalen Unternehmen wie zum Beispiel Facebook ihren Datenaustausch mit den USA nun regeln wollen. Der Stichtag für die Firmenantworten war der 15. Februar. Einige Unternehmen beantragten eine Fristverlängerung.

Durch die Antworten, die die Behörde schon bekommen hat, hat sich laut Caspar bereits Handlungsbedarf ergeben. Um welche drei beziehungsweise fünf Unternehmen es geht, wollte Caspar nicht sagen. Zuerst müsse er direkt mit den Firmen in Kontakt treten. "Es handelt sich um große, international tätige Unternehmen, bei denen man davon ausgeht, dass sie umfassend datenschutzrechtlich beraten werden und die wissen, dass Safe Harbor nicht mehr gilt", sagte Caspar. "Unsere Frist war bekannt."

Als nächstes wird es Anhörungsverfahren für die betroffenen Firmen geben. Für manche Firmen sei das vielleicht noch keine wirksame Drohkulisse, mutmaßt Caspar. "Es gibt wohl Firmen, die die Lage nicht ernst zu nehmen scheinen oder offenbar bereit sind, Bußgelder in Kauf zu nehmen."

Auch in anderen Bundesländern können Safe-Harbor-Verstöße von Unternehmen geahndet werden. Dort ist aber eine andere Datenschutzbehörde zuständig.

Die Wiedergabe wurde unterbrochen.