Berlin. Abkommen für den transatlantischen Datenaustausch ist nicht mehr gültig. Trotzdem berufen sich Firmen auf die veralteten Regelungen.
Weil offenbar mehrere Unternehmen in Hamburg weiterhin das inzwischen gekippte Safe-Harbor-Abkommen als rechtliche Basis für Datentransfers in die USA nutzen, hat der Hamburger Datenschutzbeauftragte Johannes Caspar gegen drei Firmen ein Bußgeldverfahren eingeleitet. Das erklärte sein Sprecher am Mittwoch.
Auch Monate nach dem Urteil des Europäische Gerichtshofs (EuGH) gegen „Safe Harbor“ hätten die Firmen ihren Datenverkehr nicht umgestellt oder eine andere Rechtsgrundlage für den transatlantischen Datenaustausch geschaffen, sagte Caspar zuvor dem „Handelsblatt“ (Mittwochsausgabe). Gegen zwei weitere Unternehmen würden Sanktionen noch geprüft.
Betroffen seien deutsche Töchter von US-Firmen, sagte der Sprecher des Datenschutzbeauftragten in Hamburg. Weil es sich um ein laufendes Bußgeldverfahren handele, könne er keine Details zu den Unternehmen nennen. Ihnen drohe bei vorsätzlichen Taten ein Bußgeld von bis zu 300.000 Euro. Die beschuldigten Betriebe sollten zunächst angehört werden. Erst danach werde gegebenenfalls ein Bußgeldbescheid erlassen. Die Unternehmen könnten rechtlich dagegen vorgehen.
Daten nicht ausreichend vor dem Zugriff von Geheimdiensten geschützt
Der EuGH hatte im Oktober 2015 die Safe-Harbor-Vereinbarung gekippt, das bis dahin den unkomplizierten Datenaustausch mit den USA regelte. Die Richter sahen die Informationen in den Vereinigten Staaten nicht ausreichend vor dem Zugriff von Geheimdiensten geschützt.
Anfang Februar einigten sich die EU-Kommission und die USA grundsätzlich auf einen neuen Rahmen mit dem Namen „EU-US Datenschutzschild“ („EU-US Privacy Shield“). In Kraft getreten ist diese Nachfolgevereinbarung noch nicht. Details sollen noch ausgearbeitet werden. Zudem fehlt bislang die Zustimmung des EU-Parlaments.
Die von dem Bußgeldverfahren betroffenen Firmen hatten nach Angaben von Caspars Sprecher Daten über Server und per E-Mail ausgetauscht. Hinweise, nach denen die Dienste von Drittanbietern genutzt wurden, habe der Datenschutzbeauftragte bislang nicht.