Rechtsanwältin Denise Himburg

Medienberichten zu Folge hat der Hamburger Datenschutzbeauftragte Johannes Casper Bußgeldverfahren gegen mehrere deutsche US-Töchter wegen Datenschutzverstöße im Zusammenhang mit der Übermittlung von Daten in die USA eingeleitet.

Wie bekannt, hat der EuGH im Oktober 2015 den für den Transfer von Daten zwischen der EU und den USA bisherigen Rechtsrahmen "Safe Harbor" für unwirksam erklärt, da die Daten in den USA nicht ausreichend vor dem Zugriff durch Geheimdienste geschützt seien.

Wie berichtet, haben die EU-Kommission und die USA sich am 02.02.2016 auf einen neuen Rechtsrahmen für den Datentransfer in die USA geeinigt („EU-US Privacy-Shield“). Die EU-Datenschützer haben die EU-Kommission aufgefordert, bis Ende Februar alle schriftlichen Unterlagen, die eine rechtliche Bewertung dieser neuen Regelungen ermöglichen, zur Verfügung zu stellen. Bis zum Abschluss ihrer Prüfungen haben die EU-Datenschützer die Schonfrist für den Datentransfer von der EU in die USA verlängert.

Diese Verlängerung gilt jedoch nicht für Datenübermittlungen in die USA, die auf der Grundlage des unwirksamen Safe Harbor-Abkommens erfolgen. Verstöße hiergegen sollen und können demnach von den Datenschützern bereits jetzt verfolgt werden.

Hiermit macht nun der Hamburger Datenschutzbeauftragte Johannes Casper ernst. Nach Medienberichten hat der Hamburger Datenschutzbeauftragte Bußgeldverfahren gegen mehrere Firmen in der Hansestadt wegen rechtswidrigen Datenverkehrs in die USA eingeleitet. Diese Firmen sollen den Datentransfer in die USA ohne gültige Rechtsgrundlage vorgenommenen haben. Betroffen seien ausschließlich deutsche Töchter von US-Firmen.

Nach Ansicht des Hamburger Datenschützers hätten die betroffenen Firmen den Datentransfer in die USA aussetzen oder einen eigenen Rechtsrahmen mit den US-Unternehmen nach den inhaltlichen Vorgaben der EU aushandeln müssen. Datenschützer Caspar kritisierte insbesondere, dass die Firmen auch Monate nach dem Safe Harbor Urteil gegen ihren Datenverkehr nicht umgestellt oder eine andere Rechtsgrundlage für den transatlantischen Datenaustausch geschaffen haben. Die von den Bußgeldverfahren betroffenen Firmen haben Daten über Server und per E-Mail ausgetauscht. Hinweise, nach denen die Dienste von Drittanbietern genutzt wurden, habe der Datenschutzbeauftragte wohl bislang nicht.

Die beschuldigten Betriebe sollen zunächst angehört werden. Nach Anhörung und Prüfung wird ggf. ein Bußgeldbescheid erlassen. Den betroffenen Firmen drohen bei Vorsatz Bußgelder bis zu 300.000 EUR.