Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der überarbeiteten Webseite unter www.datenschutzzentrum.de.
23.07.2010
P R E S S E M I T T E I L U N G
10 Jahre Safe Harbor – viele Gründe zum Handeln, kein Grund zum Feiern
Am 26. Juli 2010 jährt sich zum 10. Mal die Zustimmung der Kommission der Europäischen Union (EU) zu den sog. Safe-Harbor-Grundsätzen des US-Handelsministeriums. Mit diesen Grundsätzen anerkennt die EU-Kommission pauschal die Angemessenheit des Datenschutzes bei US-Unternehmen, die sich selbst nach allgemeinen Datenschutzkriterien zertifiziert haben. Dies hat einen erleichterten Datenaustausch zwischen der EU und den USA zur Folge. Vor 10 Jahren forderte das skeptische Europäische Parlament und die für den Datenschutz in der EU zuständige Art.-29-Datenschutzgruppe eine zeitnahe offizielle Überprüfung. Diese Prüfung ist nach Ansicht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) heute überfällig und kann nach den bisher vorliegenden Fakten nur negativ ausfallen.
Die Selbstverpflichtung der US-Unternehmen beim Safe Harbor bezieht sich auf folgende Aspekte:
- „Informationspflicht“ der Unternehmen gegenüber den Betroffenen über die Datenverarbeitung und Beschwerdemöglichkeit,
- „Wahlmöglichkeiten“ der Betroffenen durch ein Widerspruchsrecht (Opt-out) generell und eine Einwilligungspflicht (Opt-in) bei sensiblen Daten,
- „Weitergabe“ von Daten ist nur zulässig, wenn die Empfänger sich auf Informationspflicht und Wahlmöglichkeit verpflichten,
- „Sicherheit“ der Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Weitergabe, Änderung und Zerstörung,
- „Datenintegrität“, d.h. Beachtung der Zweckbindung der Daten,
- „Auskunftsrecht“ für die betroffenen Menschen,
- „Durchsetzung“, d.h. Mechanismen für die effektive Durchsetzung von Betroffenenrechte.
Vor wenigen Tagen präsentierte der australische Datenschutzforscher Chris Connolly auf einer internationalen Datenschutzkonferenz in Cambridge Ergebnisse einer Untersuchung über die Einhaltung der Safe-Harbor-Grundsätze durch US-Unternehmen. Danach behaupten 2170 US-Unternehmen, gemäß Safe Harbor privilegiert zu sein, wovon aber 388 beim Handelsministerium überhaupt nicht registriert waren. Von den dort aufgeführten Unternehmen waren 181 Zertifikate schon wegen Zeitablauf nicht mehr gültig. Bei Überprüfung allein des 7. Grundsatzes der „Durchsetzung“ ergab sich, dass von den 2170 US-Unternehmen 940 für Betroffene keine Informationen bereitstellen, wie diese ihre Rechte durchsetzen können. Bei 314 weiteren Unternehmen ist ein Verfahren vorgesehen, das für die Betroffenen zwischen 2000 und 4000 Dollar kostet. Es ist kein Wunder, dass hier kein einziges Beschwerdeverfahren durchgeführt wurde. Trotz insgesamt über 2000 Beschwerden jährlich wegen Verletzung der Safe-Harbor-Grundsätze hat die in den USA zuständige Federal Trade Commission (FTC) nur 7 Unternehmen abgemahnt, weil sie sich zu Unrecht auf Safe Harbor berufen haben. Die detaillierten Ergebnisse der Studie werden im August 2010 veröffentlicht werden.
Nachdem im Jahr 2008 ähnlich desaströse Ergebnisse veröffentlicht worden waren, wurden von den US-Verantwortlichen keine erkennbaren Konsequenzen gezogen. Auch nach entsprechenden Verhandlungen zwischen der EU und den USA hierzu im Dezember 2009 wurde von den US-Behörden nichts unternommen, um den Missbrauch von Safe Harbor zu beenden.
Der Kommentar des ULD-Leiters Thilo Weichert zum 10. Geburtstag: „Aus Datenschutzsicht könnte es nur eine Konsequenz aus den bisherigen Erfahrungen geben – Safe Harbor sofort zu kündigen. Wegen der engen wirtschaftlichen Beziehungen traut sich hierzu in der EU aber scheinbar niemand. Das Mindeste wäre, von den USA kurzfristig zumindest den formellen Nachweis für die Durchsetzung der Safe-Habor-Grundsätze zu fordern. Umgehend muss mit den USA in Verhandlungen eingetreten werden, um die Grundsätze zu überarbeiten und effektiv zu machen. Allein im Internet tummeln sich Hunderte von US-Firmen, unter ihnen Google und Facebook, die für sich – nicht überprüfbar für die Betroffenen und die europäischen Datenschutzbehörden – Safe Harbor reklamieren, und die sich so für befugt erklären, die Daten von Millionen von EU-Bürgerinnen und -Bürgern zu verarbeiten und damit viel Geld zu verdienen.“
Bei Nachfragen wenden Sie sich bitte an:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstr. 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223
