© Fotolia/ktsdesign, zahlen, sujet, spionage

"Safe Harbor": Facebook & Co. droht Ärger

PRIVACY
29.04.2010

Die deutschen Datenschützer stellen das Safe-Harbor-Abkommen mit den USA jetzt auf den Prüfstand, da es "gewaltige Vollzugsdefizite" aufweist: EU-Firmen sollen sich die Einhaltung der Safe-Harbor-Kriterien durch US-Unternehmen nachweisen lassen. Das könnte Konsequenzen für Firmen wie Facebook und Google nach sich ziehen.

Die deutschen obersten Aufsichtsbehörden für den Datenschutz verlangen von Unternehmen, die personenbezogene Daten in die USA übermitteln, selbst die tatsächliche Einhaltung von Datenschutzgrundsätzen zu kontrollieren. Entsprechend wollen die Datenschützer datenexportierende Unternehmer strenger prüfen.

Hintergrund ist die Tatsache, so die Behörden in einem heute veröffentlichten Beschluss, dass "eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen durch die Kontrollbehörden in Europa und den USA nicht gewährleistet ist". Sie stellen damit eine zwischen der EU und dem US-Handelsministerium im Jahr 2000 getroffene Vereinbarung, das Safe-Harbor-Abkommen, zwar nicht grundsätzlich infrage, aber sie setzen auf eine intensivere und effektivere Kontrolle.

Nachweis verlangen

In ihrem Beschluss verlangen sie von europäischen Unternehmen, selbst zu prüfen, ob ein US-Unternehmen gewisse Mindestkriterien einhält. Dazu gehört es beispielsweise, sich nicht darauf zu verlassen, dass ein Unternehmen über eine Safe-Harbor-Zertifizierung verfügt. Vielmehr muss sich das europäische Unternehmen vom amerikanischen Unternehmen nachweisen lassen, wie es seinen Informationspflichten nach den Safe-Harbor-Kriterien nachkommt. Diesen Nachweis müssen die Unternehmen auf Nachfrage den Kontrollbehörden vorlegen können.

Unternehmen wie Facebook und Google kommen ihren Informationspflichten etwa dann nach, wenn sie Privatpersonen darüber informieren, zu welchem Zweck sie die Daten über sie erheben und verwenden. Privatpersonen müssen außerdem über "Mittel und Wege" verfügen können, um die Verwendung der Daten einzuschränken. Das könnte etwa dann der Fall sein, wenn Facebook die über den "Mag ich"-Button erhoben Daten für Werbezwecke verwenden möchte. Die Unternehmen müssen sie auch darüber informieren, wie sie das Unternehmen bei eventuellen Nachfragen oder Beschwerden kontaktieren können. Bevor ein Unternehmen diese Daten zu anderen Zwecken verwenden will, muss sie ebenfalls die Betroffenen informieren.

"Safe Harbor" als Illusion

Hintergrund für das härtere Vorgehen der Datenschützer ist ein vor über einem Jahr veröffentlichtes Gutachten des US-Beratungsunternehmens Galexia mit dem Titel "Der US Safe Harbor – Fakt oder Fiktion?". Es hatte große Vollzugsdefizite aufgezeigt: Unter anderem hatte es festgestellt, dass 206 der eingetragenen 1.597 Unternehmen behauptet hatten, Mitglied von Safe Harbor zu sein, es aber in Wirklichkeit gar nicht waren. Lediglich 348 Unternehmen hatten die Mindestvoraussetzungen des Abkommens erfüllt.

Sollte ein europäisches Unternehmen nun Zweifel an der Safe-Harbor-Konformität haben, empfehlen die Datenschützer, Standardvertragsklauseln zu verwenden oder auf bindende Unternehmensklauseln zu bestehen. Sollte die Safe-Harbor-Zertifizierung nicht mehr gültig sein – das ist nach sieben Jahren der Fall - oder sollten die entsprechenden Informationen nicht vorgelegt werden, sollen die Unternehmen die Kontrollbehörden informieren. Diese wollen entsprechend ihre Zusammenarbeit mit der zuständigen US-Regulierungsbehörde FTC "intensivieren", um die Datenschutzgrundsätze "auch in der Praxis effektiv durchzusetzen".

(Christiane Schulzki-Haddouti)