Safe Harbor – Freibrief außer Kontrolle

harbor 01
News

Das Safe Harbor Abkommen wurde 2000 zwischen der EU und den USA geschlossen, um die legale Übermittlung personenbezogener Daten in die USA zu ermöglichen. Hintergrund für die Notwendigkeit eines solchen Abkommens war die Tatsache, dass ein Datentransfer in Drittstaaten, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen, nach Art. 25 und 26 der Europäischen Datenschutzrichtlinie verboten war.

Da die USA jedoch als ein solches so genanntes unsicheres Drittland gelten, wurde das Safe Harbor Abkommen geschlossen, um den Datenaustausch mit einem der wichtigsten Handelspartner weiterhin zu ermöglichen. Dafür wurden insgesamtsieben Anforderungen festgelegt, die nach europäischen Standards ohnehin jedes Unternehmen erfüllen muss, um ein angemessenes Datenschutzniveau vorweisen zu können:

  1. Informationspflicht:
    Pflicht der Unternehmen, die Betroffenen darüber zu unterrichten, welche Daten für welche Zwecke erhoben worden sind und welche Rechte die Betroffenen haben.
  2. Wahlmöglichkeit:
    Betroffene müssen die Möglichkeit haben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
  3. Weitergabe:
    wenn eine Datenweitergabe erfolgt, müssen die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informiert werden.
  4. Zugangsrecht:
    die Betroffenen müssen die über sie gespeicherten Daten einsehen und sie ggf. berichtigen, ergänzen oder löschen können.
  5. Sicherheit:
    Schaffen von angemessenen Sicherheitsvorkehrungen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
  6. Datenintegrität:
    Sicherstellung, dass die von den Unternehmen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
  7. Durchsetzung:
    Mechanismen für eine effektive Durchsetzung von Betroffenenrechten.

Soweit die Theorie.

Nach 10 Jahren nun die ernüchternde Bilanz:

Laut ULD-Leiter Thilo Weichert müsste das Safe Harbor Abkommen aus Datenschutzsicht gekündigt werden. Grund für diese Aussage ist eine Untersuchung eines australischen Datenschutzforschers über die Einhaltung der Safe-Harbor-Grundsätze durch US-Unternehmen. Einer Pressemitteilung des ULD zufolge

„behaupten 2170 US-Unternehmen, gemäß Safe Harbor privilegiert zu sein, wovon aber 388 beim Handelsministerium überhaupt nicht registriert waren. Von den dort aufgeführten Unternehmen waren 181 Zertifikate schon wegen Zeitablauf nicht mehr gültig. Bei Überprüfung allein des 7. Grundsatzes der „Durchsetzung“ ergab sich, dass von den 2170 US-Unternehmen 940 für Betroffene keine Informationen bereitstellen, wie diese ihre Rechte durchsetzen können.“

Oder aber Unternehmen stellen Verfahren zur Durchsetzung der Betroffenenrechte zur Verfügung, versehen dieses aber mit so horrenden Kosten, dass niemand ein Beschwerdeverfahren durchführt. Obwohl jährlich über 2000 Beschwerden eingelegt werden, wurden insgesamt nur sieben Unternehmen abgemahnt, weil sie sich zu Unrecht auf Safe Harbor berufen haben.

Eine Kündigung aber scheint undenkbar, so dass Datenexporteure zumindest weitere Mindestprüfungen vornehmen müssen. Ein wirklich scharfes Schwert ist das Abkommen damit dennoch nicht. Das Berufen auf Safe Harbor darf künftig kein Freibrief mehr für Unternehmen wie Google oder Facebook sein. Ein Weiterführen des Abkommens unter diesen Voraussetzungen scheint zumindest im Moment sinnfrei…

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.