Die drei Unternehmen Adobe, Punica und Unilever müssen an ihrem deutschen Firmensitz in Hamburg Bußgeld bezahlen. Sie haben sich trotz einer neuen Rechtslage und einer mehrmonatigen Schonfrist noch auf alte, nicht mehr gültige Regeln zum Datenaustausch mit den USA berufen. Nun hat sie die Hamburger Datenschutzbehörde deshalb zur Kasse gebeten.

Das US-Softwareunternehmen Adobe hat 8.000 Euro Bußgeld bezahlt, Getränkehersteller Punica 9.000. Der niederländisch-britische Konzern Unilever, einer der weltweit größten Hersteller von Verbrauchsgütern, musste eine Rechnung über 11.000 Euro begleichen.

"Die Aufsichtsbehörden hatten europaweit eine angemessene Übergangsfrist gesetzt", sagte der Hamburgische Datenschutzbeauftragte Johannes Caspar SPIEGEL ONLINE. Alle Unternehmen waren über die nötigen Änderungen und die folgende Prüfung durch die Behörde informiert worden, insgesamt betraf sie 35 international arbeitende Hamburger Firmen.

Bußgelder bis zu 300.000 Euro möglich

Theoretisch wären Bußgelder in Höhe von bis zu 300.000 Euro möglich gewesen. "Aber alle drei Unternehmen haben noch während des Bußgeldverfahrens ihre Übermittlungsgrundlagen angepasst", sagt Caspar. Deshalb fiel das Bußgeld deutlich geringer aus. Andere Firmen müssen laut Caspar aber mit empfindlicheren Strafen rechnen: "Wenn jetzt noch Unternehmen die Safe-Harbor-Entscheidung ignorieren, dann ist das schon ein deutlich gravierenderer Verstoß."

Im Oktober hatte der Gerichtshof der Europäischen Union geurteilt, dass die bisher geltende Regelung zum transatlantischen Austausch von Daten ungültig ist. Zur Begründung hieß es, die persönlichen Daten europäischer Internetnutzer seien in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt.

Im Februar hat die EU-Kommission verkündet, dass man sich nach langem Hin und Her mit den USA einig sei über eine Nachfolgeregelung für Safe Harbor und einen neuen, höchst umstrittenen "Privatsphäre-Schild" vorgestellt. In der Übergangsphase sind viele Unternehmen auf sogenannte Standardvertragsklauseln umgestiegen, um ihren Datenaustausch rechtlich zu regeln. Diese Lösung akzeptiert auch die Hamburger Datenschutzbehörde. Punica, Adobe und Unilever allerdings haben nicht rechtzeitig umgestellt.

Noch mehr Firmen müssen mit Strafen rechnen

Unter Umständen könnte Caspar von noch mehr Firmen ein Bußgeld fordern. Bei der Hamburger Datenschutzbehörde laufen laut einer Pressemitteilung vom Montag  noch zwei offene Bußgeldverfahren gegen Unternehmen. In einem weiteren Fall wurde der Bußgeldbescheid kürzlich zugestellt.

Um welche Firmen es sich handelt, wollte Caspar mit Verweis auf die laufenden Prüfungen nicht sagen. Die verhängten drei Bußgeldbescheide sind rechtskräftig und wurden laut Caspar von den Firmen bereits beglichen.

Caspar vermutet, dass durch die stichprobenhafte Prüfung lange nicht alle Safe-Harbor-Sünder entdeckt werden: "Es ist zu befürchten, dass die Dunkelziffer der Unternehmen, die nach wie vor unzulässig ihre Daten in die USA übermitteln, weitaus höher liegt."