BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/4832 21. Wahlperiode 21.06.16 Schriftliche Kleine Anfrage des Abgeordneten Hansjörg Schmidt (SPD) vom 13.06.16 und Antwort des Senats Betr.: Bußgelder nach dem Ende von Safe Harbor Der Europäische Gerichtshof hat in einem Urteil im vergangenen Oktober das Safe-Harbor-Abkommen für ungültig erklärt. Mit diesem Abkommen wurde der Datenexport in die USA geregelt. Für US-Amerikanische Cloud-Anbieter und deren Kunden hat das Urteil weitreichende Folgen. Denn die USA bieten kein angemessenes Schutzniveau für personenbezogene Daten. So lautet es in der Begründung für die Entscheidung des EuGH vom 6. Oktober 2015. Damit reicht es nicht mehr, dass die Daten der Bürger Europas durch das Safe-Harbor-Abkommen aus dem Jahr 2000 einfach für sicher erklärt worden sind. Im Februar hat die EU-Kommission verkündet, dass man sich nach langem Hin und Her mit den USA einig sei über eine Nachfolgeregelung für Safe Harbor und es wurde ein neuer „Privatsphäre-Schild“ vorgestellt. Die unabhängigen Datenschutzbehörden des Bundes und der Länder rufen seit dem Ende von Safe Harbor die Unternehmen auf, ihre Verfahren zum Datentransfer unverzüglich datenschutzgerecht zu gestalten. Unternehmen, die weiterhin das Safe-Harbor-Abkommen als rechtliche Basis für Datentransfers in die USA nutzen, können mit Bußgeldern von bis zu 300.000 Euro belangt werden. Ich frage den Senat: In Angelegenheiten, die ausschließlich die Amtsführung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) berühren, berücksichtigt der Senat in seinem Antworttext die Stellungnahme des HmbBfDI. Dies vorangestellt, beantwortet der Senat die Fragen ausschließlich aufgrund der Zulieferung des HmbBfDI wie folgt: 1. Wurden seit dem Aus für Safe Harbor Bußgelder an in Hamburg ansässige Unternehmen ausgesprochen? Ja. Wenn ja, bitte mit der Höhe des Bußgeldes auflisten. Adobe Systems Engineering GmbH: 8.000 Euro Punica Getränke GmbH: 9.000 Euro Unilever Bestfoods Deutschland GmbH: 11.000 Euro WorldOne GmbH: 2.000 Euro Drucksache 21/4832 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 2. Wie werden die Bußgelder begründet? Ein Bußgeld mit der Nichterteilung einer Auskunft (§ 43 Absatz 1 Nummer 10 BDSG), die übrigen mit der unbefugten Übermittlung personenbezogener Daten (§ 43 Absatz 2 Nummer 1 BDSG). 3. Sind die betroffenen Unternehmen vorgewarnt worden? Ja. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBf- DI) hat die Unternehmen Ende November 2015 angeschrieben und nicht nur über die Rechtslage nach dem Urteil des EuGH vom 6. Oktober 2015 informiert, sondern auch darauf hingewiesen, welche weiteren Schritte ab Januar 2016 vorgesehen sind. Im Januar wurde dann im Zusammenhang mit der Befragung der Unternehmen erneut auf die Rechtslage und die Möglichkeit weiterer Maßnahmen hingewiesen. 4. Sind weitere Bußgeldverfahren anhängig? Ja, eines. 5. In ihrem Positionspapier stellt die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder fest, dass derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilt würden. Eine Einwilligung zum Transfer personenbezogener Daten könne zwar unter engen Bedingungen eine tragfähige Grundlage sein, dies dürfe jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen. Ebenfalls dürfen beim Export von Beschäftigtendaten, oder wenn gleichzeitig auch Daten Dritter betroffen sind, die Einwilligungen nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein. Die Einholung einer Einwilligung von Interessenten zum Datenexport in die USA dürfte beispielsweise bei der Kundengewinnung nicht praktikabel sein. Wie können Unternehmen, die keine Einwilligung der betroffenen Personen vorliegen haben, rechtssicher Daten in die USA exportieren? Das Bundesdatenschutzgesetz (BDSG) nennt eine Reihe von Möglichkeiten, personenbezogene Daten rechtssicher zu exportieren (§ 4c Absatz 1 BDSG). Darüber hinaus bleibt die Rechtslage zunächst bis zu einer Entscheidung der EU-Kommission über das Privacy Shield unsicher. Aber auch dann ist eine erneute Überprüfung durch den EuGH absehbar, wenn an dem vorgesehenen Abkommen keine entscheidenden Verbesserungen vorgenommen werden. Es wird auch nicht ausgeschlossen, dass die derzeit noch akzeptierte Lösung über Standardvertragsklauseln auf den Prüfstand gerät. 6. Die Nachfolge des gescheiterten Safe-Harbor-Abkommens tritt der EU- US Privacy Shield an. Welche Veränderungen in Bezug auf den Datenexport ergeben sich hier-durch für die Unternehmen? Ein Nachfolgebeschluss der EU-Kommission zur Safe-Harbor-Entscheidung steht noch aus. Die Beratungen sind noch nicht abgeschlossen.