EU-Datentransfers in die USA: Erste Bußgelder angekündigt

Johannes Caspar, Hamburger Datenschutzbeauftragter und Vorsitzender der Datenschutzkonferenz. © HmbBfDI / Thomas Krenz

Vor fast fünf Monaten hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen gekippt, das bislang als Basis für den Transfer personenbezogener Daten aus der EU in die USA gedient hatte. Im Alltag war davon jedoch nicht viel zu spüren, da viele Unternehmen offenbar darauf hoffen, die Zeit bis zur angekündigten Nachfolgeregelung namens „EU-US Privacy Shield“ ohne Änderungen ihrer bisherigen Praxis zu überbrücken.

Nun hat der Hamburger Datenschutzbeauftragte Johannes Caspar angekündigt, ein Bußgeldverfahren gegen drei ungenannte Unternehmen einzuleiten, die weiterhin entsprechende Daten in den USA speichern. Laut einem Bericht des Handelsblatts (Paywall) prüfe er zudem Sanktionen gegen zwei weitere Firmen.

Caspar ärgert das Verhalten der Unternehmen: „Dass nun einige Unternehmen immer noch Safe Harbor nutzen, verwundert schon“, sagte er dem Handelsblatt. Denn man habe transparent informiert. Ein bewusstes Fehlverhalten von derart großen international aufgestellten Unternehmen könne insoweit nicht folgenlos bleiben, bemerkte Caspar.

Überrascht sollten sich die betroffenen Unternehmen nicht zeigen, denn einerseits liegt deren Juristen das EuGH-Urteil vor. Darüber hinaus hat die Artikel-29-Datenschutzgruppe (G29) der EU nach ihrem Treffen Anfang Februar eindeutige Vorgaben geliefert:

Für das weitere Vorgehen hat die Art. 29-Gruppe beschlossen, bis zum Abschluss der Prüfung der neuen Regelung den Datentransfer über Standardvertragsklauseln bzw. bestehende BCR weiterhin offen zu lassen.
 
Das gilt ausdrücklich nicht für Übermittlungen auf Grundlage der aufgehobenen Safe Harbor-Entscheidung. Derartige Übertragungen sind rechtswidrig. Verstöße hiergegen werden von den Aufsichtsbehörden verfolgt.

In anderen deutschen Bundesländern dürfte die Situation ähnlich sein: Laut Handelsblatt habe eine Befragung der Datenschutzbehörde Rheinland-Pfalz ergeben, dass von 122 der größten Unternehmen 17 nach wie vor personenbezogene Daten in die USA übermitteln. 16 weitere seien der Ansicht, aufgrund eines „angemessenen Datenschutzniveaus in den USA bei Ihren US-Partnerfirmen weiterhin Daten exportieren zu dürfen“. Und ganze 15 Prozent der Unternehmen seien nicht in der Lage gewesen, binnen der gesetzten Frist „die zehn einfachen Fragen vollständig zu beantworten“. Sollte sich daran nichts ändern, drohten ihnen ebenfalls Bußgeldverfahren, so Stefan Brink von der rheinland-pfälzischen Datenschutzbehörde.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.