Wie bekannt, hat der EuGH im Oktober 2015 den für den Transfer von Daten zwischen der EU und den USA bisherigen Rechtsrahmen "Safe Harbor" für unwirksam erklärt, da die Daten in den USA nicht ausreichend vor dem Zugriff durch Geheimdienste geschützt seien.
Die EU-Kommission und die USA haben sich schließlich am 02.02.2016 auf einen neuen Rechtsrahmen für den Transfer von Daten in die USA geeinigt ("EU-US Privacy-Shield"). Die EU-Datenschützer haben die EU-Kommission aufgefordert, ihnen bis Ende Februar 2016 alle Unterlagen, die eine rechtliche Prüfung dieses neuen Rechtsrahmens ermöglichen, zur Verfügung zu stellen. Bis zum Abschluss ihrer Prüfungen haben die EU-Datenschützer die Schonfrist für den Datentransfer von der EU in die USA verlängert.
Diese Verlängerung gilt jedoch nicht für Datenübermittlungen in die USA, die auf der Grundlage des unwirksamen Safe Harbor-Abkommens erfolgen. Verstöße hiergegen sollen und können demnach von den Datenschützern bereits jetzt verfolgt werden.
Hiermit macht nun der Hamburger Datenschutzbeauftragte Johannes Casper offensichtlich ernst. Nach Medienberichten hat der Hamburger Datenschutzbeauftragte Bußgeldverfahren gegen mehrere in der Hansestadt ansässige Firmen wegen rechtswidrigen Datentransfers in die USA eingeleitet. Die Internet-Unternehmen sollen den Datentransfer in die USA ohne gültige Rechtsgrundlage vorgenommenen haben. Betroffen seien ausschließlich deutsche Töchter von US-Firmen.
Nach Ansicht des Hamburger Datenschützers hätten die betroffenen Firmen den Datentransfer in die USA aussetzen oder einen eigenen Rechtsrahmen mit den US-Unternehmen nach den inhaltlichen Vorgaben der EU aushandeln müssen. Datenschützer Caspar kritisierte insbesondere, dass die Firmen auch Monate nach dem Safe Harbor Urteil gegen ihren Datenverkehr nicht umgestellt oder eine andere Rechtsgrundlage für den transatlantischen Datenaustausch geschaffen haben. Die von den Bußgeldverfahren betroffenen Firmen haben Daten über Server und per E-Mail ausgetauscht. Hinweise, nach denen die Dienste von Drittanbietern genutzt wurden, habe der Datenschutzbeauftragte wohl bislang nicht.
Die beschuldigten Betriebe sollen zunächst angehört werden. Nach Anhörung und Prüfung wird ggf. ein Bußgeldbescheid erlassen. Den betroffenen Firmen drohen bei Vorsatz Bußgelder bis zu 300.000 EUR.
