Safe-Harbor-Abkommen in der Kritik

Freunde finden, informiert werden, online bestellen. Diese Dienste stehen im Netz scheinbar kostenlos zur Verfügung. Doch die Währung heißt Daten. Zahlt man innerhalb Deutschlands oder der Europäischen Union (EU) mit ihr, kann sich der Nutzer auf ein hohes Datenschutzniveau verlassen. Anders sieht das bei Datenübermittlungen in die USA aus. Zwar setzt das Safe Harbor Abkommen auch hier Standards, doch vielfach werden sie nicht eingehalten.

Dabei kommt das Abkommen oft zur Anwendung. Denn Daten dürfen von Deutschland nur in die USA übermittelt werden, wenn auf Empfängerseite ein angemessenes Datenschutzniveau sichergestellt ist. Diesen Standard können sich amerikanische Unternehmen auf Grundlage der Vereinbarung zwischen EU und USA selbst bescheinigen. Ist das Unternehmen zertifiziert, dürfen deutsche Unternehmen Daten übermitteln. Schließlich ist ein hinreichendes Datenschutzniveau sichergestellt - zumindest theoretisch.

Die Realität sieht anders aus:  Zum einen zertifizieren sich US-Unternehmen selbst; eine Vorab-Kontrolle von staatlicher Seite findet nicht statt. Zum anderen fehlt es an einer späteren Überprüfung der zertifizierten Unternehmen. Die Federal Trade Commission als zuständige US-Behörde wird nur auf Beschwerde tätig.

Datenschutz bedeutet informationelle Selbstbestimmung

Praktisch ist das Datenschutzniveau in den USA damit in vielen Fällen alles andere als angemessen. Die Teilnehmer der Dialogveranstaltung "Verbraucher im Netz" bei Bundesverbraucherschutzministerin Ilse Aigner wussten um dieses Problem.

Aus Verbrauchersicht lässt es sich auf die Frage zuspitzen, ob der Einzelne die Kontrolle über die eigenen Daten behält. "Datenschutz heißt ja nicht umsonst (...) informationelles Selbstbestimmungsrecht", bringt es Bundesdatenschutzbeauftragter Peter Schaar auf den Punkt.

Schaar ist sich auch der negativen Folgen bewusst, die die Nichteinhaltung von Safe Harbor für die Wirtschaft hat: "Es kann nicht angehen, dass deutsche Anbieter in USA sich an amerikanisches Recht zu halten haben (...), während auf der anderen Seite amerikanische Unternehmen in Europa sich darauf berufen können mit einer gewissen Erfolgsaussicht,  dass für sie nur amerikanisches Recht gilt."

Deutsche Unternehmen müssen sich aktiv über Safe-Harbor  informieren

Die EU-Kommission kündigte bereits Nachbesserungen des Abkommens an. Ansatzpunkt ist in erster  Linie die mangelnde Rechtsdurchsetzung. Staatliche Stellen müssen stärker kontrollieren, Unternehmen ihre Datenschutzbestimmungen an europäische Standards anpassen.

Bis es zu einer Verbesserung des Rechtsrahmens kommt, sollten sich deutsche Unternehmen nicht allein auf das Safe-Harbor-Zertifikat verlassen. Im April 2010 formulierte der Düsseldorfer Kreis als Vereinigung der Datenschutzaufsicht im nicht-öffentlichen Bereich weitergehende Anforderungen: Solange eine flächendeckende Kontrolle der Selbstzertifizierung nicht gewährleistet ist, müssten sich deutsche Unternehmen aktiv über die Einhaltung des Safe-Harbor-Standards informieren.

Dazu muss sich das Unternehmen die Einhaltung der Grundsätze des Abkommens durch den US-Kollegen ebenso nachweisen lassen wie die Erfüllung der Informationspflichten gegenüber den von der Datenverarbeitung Betroffenen. Rechtlich durchsetzbar sind diese Anforderungen zwar nicht, doch die Aufsichtsbehörden legen sie als Messlatte an.

Auch  für die private Datenübermittlung lautet das Credo "aktive Information". Ob der Empfänger der Daten, so er in den USA ansässig ist, über ein Safe-Harbor-Zertifikat verfügt, ist Ausgangspunkt dieser Kontrolle. Einen sicheren Hafen steuern die eigenen Daten damit nicht zwangsläufig an. Es gilt, auch die Datenschutzbestimmungen des Empfängers zu kontrollieren. Andernfalls besteht die Gefahr, unnötig Lehrgeld zu bezahlen. Die Währung? Daten.

Beatrice Lederer ist Doktorandin und wissenschaftliche Mitarbeiterin am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht Prof. Dr. Dirk Heckmann an der Universität Passau.

Mehr auf LTO.de:

Datenschutz: Neue Regelungen für die Privatheit

Datenschutz: Der nächste Streich von Easycash

Datenschutz: Gläserner Kunde an der Kasse