Verfahren gegen Hamburger Firmen wegen Safe-Harbor eingeleitet
Berlin (dpa) - Der Hamburger Datenschutzbeauftragte Johannes Caspar hat ein Bußgeldverfahren gegen mehrere Firmen in der Hansestadt wegen des gewerblichen Datenverkehrs in die USA eingeleitet.
Sie sollen den transatlantischen Transfer ohne eine gültige rechtliche Grundlage betrieben haben. Betroffen seien deutsche Töchter von US-Firmen, erklärte ein Sprecher von Caspar am Mittwoch. Gegen zwei weitere Unternehmen würden Sanktionen noch geprüft.
Den bisherigen Rechtsrahmen „Safe Harbor“ für den Transfer von Daten zwischen der Europäischen Union und den USA ist seit einem Urteil des Europäischen Gerichtshofs (EuGH) von Oktober 2015 nicht mehr in Kraft. Die Richter sahen die Informationen in den Vereinigten Staaten nicht ausreichend vor dem Zugriff durch Geheimdienste geschützt.
Der Richterspruch zur „Safe Harbor“-Regelung betrifft Unternehmen, die gewerblich Daten verarbeiten. Sie müssen sich, was den Schutz der Informationen angeht, an EU-Regeln halten. Heißt: Werden die Daten deutscher Nutzer im Ausland, wie den USA, gespeichert, gilt der von der EU festgelegte Rechtsrahmen. Weil die bisherige Regelung nicht mehr gültig ist, hätten die betroffenen Firmen den Datentransfer in die USA aussetzen müssen, oder einen eigenen Rechtsrahmen mit den US-Unternehmen nach den inhaltlichen Vorgaben der EU aushandeln müssen.
Dies kritisierte Datenschützer Caspar in der Mittwochsausgabe des „Handelsblatt“: Auch Monate nach dem Urteil gegen die „Safe Harbor“ hätten die Firmen ihren Datenverkehr nicht umgestellt oder eine andere Rechtsgrundlage für den transatlantischen Datenaustausch geschaffen.
Von den Bußgeldverfahren betroffen seien deutsche Töchter von US-Firmen, sagte Caspars Sprecher. Weil es sich um ein laufendes Verfahren handele, könne er keine Details zu den Unternehmen nennen. Ihnen drohe bei vorsätzlichen Taten ein Bußgeld von bis zu 300 000 Euro. Die beschuldigten Betriebe sollten zunächst angehört werden. Erst danach werde gegebenenfalls ein Bußgeldbescheid erlassen. Die Unternehmen könnten rechtlich dagegen vorgehen.
Anfang Februar hatten sich die EU-Kommission und die USA grundsätzlich auf einen Nachfolger von „Safe Harbor“ mit dem Namen „EU-US Datenschutzschild“ („EU-US Privacy Shield“) geeinigt. In Kraft getreten ist diese Vereinbarung noch nicht. Details sollen noch ausgearbeitet werden. Zudem fehlt bislang die Zustimmung des EU-Parlaments.
Die von dem Bußgeldverfahren betroffenen Firmen hatten nach Angaben von Caspars Sprecher Daten über Server und per E-Mail ausgetauscht. Hinweise, nach denen die Dienste von Drittanbietern genutzt wurden, habe der Datenschutzbeauftragte bislang nicht.