Datentransfer in die USA: US Handelsministerium unter Beschuss aus Deutschland (Safe Harbor Principles)
von , veröffentlicht am 17.02.2010Dem für den internationalen Datentransfer in die USA federführenden US Department of Commerce weht zur Zeit eine steife Brise aus dem deutschen Norden um die Nase. Die deutschen Datenschützer Weichert (Schleswig-Holstein) und Casper (Hamburg) haben sich laut eines Heise-Artikels bitter beklagt, dass die US Behörden bei der Überwachung der Einhaltung der sog. EU/US Safe Harbor Principles zu lasch seien. Die vom Department of Commerce verwalteten Safe Habor Principles erlauben es US-Unternehmen in bestimmten Geschäftsbereichen, sich durch Annahme und Umsetzung der mit den EU ausgehandelten Datenschutzprinzipien („Safe Harbor Principles“) für die Annahme von personenbezogenen Daten aus der EU zu qualifizieren. Allerdings scheint es mit der Umsetzung der Überwachung in der Praxis (in den meisten Fällen durch die Federal Trade Commission) erheblich zu hapern - es gebe kaum Sanktionen.
Frage an die Beck Community: Wie sollten sich die deutschen Datenschützer und Datenschutzbehörden jetzt verhalten?
Safe Harbor Principles: http://www.export.gov/safeharbor/
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
6 Kommentare
Kommentare als Feed abonnierenIch erinnere mich aus der Unternehmensberatungs-Praxis an Fälle, in denen große, transnationale US-Konzerne ein integriertes Human-Resource-Management-System betreiben; auch die deutschen Arbeitnehmerdaten werden dann auf US-Servern, wo die Firmenzentrale ihren Sitz hat, gespeichert und verarbeitet. Dabei wird immer auf die Safe Harbour Bestimmungen verwiesen (zB bei Betriebsvereinbarungen).
Diese Konstellationen gibt es natürlich auch im Bereich der Auftragsdatenverarbeitung.
Wenn die Landes-Datenschutzbeauftragten nun tatsächlich das Schutzniveau als viel zu niedrig oder überhaupt nicht gegeben einschätzen, und ihre Aufgabe wörtlich nehmen, müssten sie meines Erachtens sofort die Auftragsdatenverarbeitung untersagen (bzw. die Genehmigungen widerrufen) und allen inländischen Konzernen, die sich auf die Safe Harbour Bestimmungen berufen und Daten nach Übersee übermitteln, ebenfalls die Datenübermittlung sofort untersagen bzw. Verstöße so ahnden, "als ob" es sich um Datenweitergabe eben ohne Safe Harbour handelt. Unterließen sie dies, kämen sie ja ihrer Funktion nicht nach, die personenbezogenen Daten so zu schützen, wie es die gesetzl. Vorschriften für Deutschland vorsehen.
Damit entstünde zwar sofortiger Handlungsdruck; aber dies ist wohl praktisch nicht durchführbar und würde automatisch zum Politikum.
Politisch müsste das meiner Meinung nach "Top-Down" geregelt werden; da Datenschutz aber immer mit Details und Kultur zu tun hat -wie ist das Schutzniveau "messbar"?- , müsste man detaillierte Anforderungs-Kataloge an Schutz-Niveaus aushandeln; und in den USA müsste -Stichwort fehlende Datenschutz-Kultur-- vielleicht überhaupt erst eine Bürokratie zur Datenschutz-Überwachung etabliert werden. Hier fragt sich wieder, worin der "Hebel" bestehen soll, den die Europäer einsetzen können, um diese Trägheit -wegen fehlender Datenschutzkultur- zu überwinden.
Vielleicht müsste das ganze Thema noch eine Ebene höher, auf EU Level, angesetzt werden. Beim SWIFT stehen Datenschutz-Diskussionen ja sowieso wieder an, wohl aber mit anderen Zuständigkeiten.
Die Landesdatenschutzbeauftragten sind mE. in einem Dilemma. Sie wissen, dass heute und bis auf weiteres personenbezogene Daten aus Deutschland, für deren Schutzniveau sie zuständig sind, exportiert werden in ein Land, das das Minimum an Schutz-Niveau, das im Safe Harbour definiert wurde, nicht bietet. Andererseits können sie es "nicht bringen", die Übermittlung einfach zu verbieten, auch wenn es der einzige Weg wäre, das Recht auf informationelle Selbstbestimmung für deutsche Bürger sicherzustellen.
Bleibt der Weg an die Öffentlichkeit und das Weiterkommunizieren an die Politik; ob das Thema aber wirklich auf die "Agenda" kommt, bezweifle ich stark.
Vielleicht hülfe ein Ultimatum; der Partnerstaat müsste belastbare Nachweise von Audits -sofern es überhaupt personelle Ressourcen und passende inländische Vorschriften gibt- vorlegen, die das Schutzniveau plausibel machen; ansonsten würde ich, als Datenschutzbeauftragter, ab einem bestimmten Datum allen inländischen Unternehmen die Weitergabe -bußgeldbewehrt- untersagen.
Zusätzlich stellt sich vielleicht auch noch die Frage, ob nicht selbst die betrieblichen Beauftragten für den Datenschutz, die in den jeweiligen deutschen Niederlassungen der Konzerne bestellt sind, und die Verantwortung für die Einhaltung der Vorschriften tragen, nicht jetzt selbst sofort tätig werden müssten.
Wenn mir das als betrieblicher DSB zu Ohren käme, würde ich mein Amt niederlegen oder die Geschäftsleitung auffordern, sofort den Datenaustausch einzustellen; zumindest aber schriftliche, mich entlastende Unterlagen über das Schutzniveau aus der US-Unternehmenszentrale anfordern, die mich hier in Deutschland nicht angreifbar machen.
Es stellt sich die Frage, wie mit einer Situation umgegangen wird, in der ein deutscher Arbeitnehmer auf dem Klageweg Ansprüche wegen Datenschutzverletzungen -wie unerlaubte Weitergabe in den USA- ggü. seinem Arbeitgeber und dessen DSB durchsetzen möchte, nachdem nun bekannt geworden ist, dass das zugesagte Schutzniveau nicht existiert. Dies wiederum spräche für sofortiges Handeln.
Danke für die ausführlich begründeten Vorschläge zu später Stunde, Florian. Anschlußfrage: Trifft ein eventuelles Vorgehen gegen den deutschen Datenexporteur nicht möglicherweise den falschen - nämlich denjenigen, der sich auf die Zertifizierung nach Safe Harbor verläßt?
Über diese Frage wird man sicher streiten können; ich meine, es trifft durchaus den richtigen, wenn es den Datenexporteur träfe.
Das hängt wohl davon ab, wie stark man die Verantwortung und Rolle der "verarbeitenden Stelle" definiert; ich würde die primäre Verantwortung bei der verarbeitenden Stelle ansetzen und diese auch sehr weit auslegen; die Datenschutzgesetze erfordern ja nur in bestimmten Fällen überhaupt eine Vorab-Genehmigung durch die Aufsichtsbehörde; wenn die Konstellation eine Auftragsdatenverarbeitung ist, dann muss ich mich als Unternehmen immerhin um die Zuverlässigkeit des Auftragnehmers kümmern, um den gesetzl. Vorschriften zu genügen.
Ich würde sagen, es gibt "zwar" eine Aufsichtsbehörde, aber der Gesetzgeber schafft die Datenschutzgesetze primär, um die verarbeitenden Stellen mit den Sorgfaltspflichten zu binden und ihm die Erwartungshaltung zu kommunizieren, wie diese Stelle das Recht auf Informationelle Selbstbestimmung mit all den versch. Maßnahmen zu wahren hat; deshalb hat er auch den betrieblichen DSB geschaffen.
Insofern hat diese Subsidiarität durchaus Sinn, wenn man die heutige technisierte Informationsgesellschaft sieht, und die Tatsache, dass IT heute fast überall ist. Natürlich wird beim Thema Datenschutz überall, an allen Ecken und Enden, geschlampt ohne Ende, das kann ich aus der Beratungspraxis sagen (tendenziell haben die größeren Unternehmen natürlich bessere Datenschutz-Bürokratien als kleinere und mittlere, deshalb mag die Safe-Harbour-Problematik hier eine andere sein).
Aber wenn wir die primäre Verantwortung bei der verarbeitenden Stelle ansetzen und zunächst dort belassen, dann kann der Datenexporteur sich schlecht herausreden, wenn er sich zwar auf die Zertifizierung beruft, er es aber jetzt "schriftlich" hat (und zusätzlich durch die Äußerungen der Landes-DSB), dass das Schutzniveau nicht gewährleistet ist. Ich würde jedenfalls, müsste ich schlichten oder als Richter entscheiden, die verarbeitende Stelle erste sehr sehr spät aus der Verantwortung lassen (etwa, wenn bei der Auftragsdatenverarbeitung vorsätzlich gefälschte Dokumente vorgelegt würden, die eine falsche Zuverlässigkeit vorspiegeln).
Man könnte vielleicht auch eine Analogie zur Auftragsdatenverarbeitung ziehen; sobald ich von der Unzuverlässigkeit meines Auftragnehmers erfahre, muss ich die Auftragsdatenverarbeitung sofort stoppen; die Verarbeitende Stelle bleibt nämlich ohnehin definitorisch bei mir --und damit die Verantwortung.
Natürlich kann man auch die andere Haltung einnehmen, und die Zertifizierung als ausreichend erachten; und so würde ich mich auch verteidigen als Unternehmen oder als betrieblicher DSB. Realiter wäre aber dann aus Sicht von potenziell Geschädigten letztlich niemand mehr "greifbar" für Datenschutzverstöße; in den USA vorzugehen gegen Behörden wegen fehlender Kontrolle und Sanktionierung dürfte müßig sein. Ich weiß auch nicht,ob es dort zB gesetzliche Ansprüche wie in D gibt, eine Korrektur/Löschung/Auskunft einzuklagen. Ich würde persönlich daher lieber auf Nummer Sicher gehen, wäre ich betrieblicher DSB; ein Datenschutz- und Security-Konzept der US-Mutter und vielleicht interne Audits dürfte ja schon gute Grundlagen geben.
Ich sehe hier innerhalb von Unternehmen durchaus Diskussionsbedarf: wird der Betriebsrat eine bestehende Betriebsvereinbarung zur Personal-Datenverarbeitung mit US-Export außerordentlich kündigen können (oder neue Nachweise über dortigen Datenschutz fordern können)? Wie geht die dt. Geschäftsleitung mit Situationen um, in denen dt. Mitarbeiter ggü. dem betrieblichen DSB die Personaldatenverarbeitung mit US-Export untersagen? Argumente hierfür und Äußerungen der Landes-DSB hätten sie ja jetzt.
Ich sehe nur eine Lösung. Der Staat oder die EU als Staatengemeinschaft muss einen Transfer verbieten und das auch überprüfen und sanktionieren. Und das ganze so lange bis die andere Seite - die USA - ihrerseits für Überprüfung und Sanktionierung sorgt.
Das geht wie angesprochen nur top down. Jede Firma welche hier in Deutschland von sich aus Daten zurückhalten würde wäre ansonsten vermutlich mit Nachteilen Konfrontiert. Etwas, was mittelfristig für das durchsetzen von eben "konformen", und damit "nachlässigen" Firmen und Konsortien (und auch Datenschutzkultur) sorgen würde.
Das ist in etwa vergleichbar mit den PNR. Es wäre (um eine Analogie zu treffen) absolut unsinnig Fluglinien die Aufsichtspflichten und das verweigern der Herausgabe oder der Erhebung aufzubürden wenn selbige dafür in den USA sanktioniert würden.
@Florian
"Ich weiß auch nicht,ob es dort zB gesetzliche Ansprüche wie in D gibt, eine Korrektur/Löschung/Auskunft einzuklagen."
Ausländer genießen in den USA keinerlei Datenschutz (absolut null).
Grüße
ALOA
Auch wenn es nicht ganz passt:
Ich befasse mich schon seit längerem mit der Thematik "Auftragsdatenverarbeitung" (sowohl im Hinblick auf inländische als auch ausländische Kooperationen) und musste nun über die Hessische Datenschutzbehörde am RP Darmstadt schmunzeln. Auf ihrer Website (http://www.rp-darmstadt.hessen.de/irj/RPDA_Internet?cid=cc0eeb29fc27e29e...) stellen sie ein Muster für eine Vereinbarung nach § 11 BDSG zur Verfügung. Darin ist in XII 4. folgende Klausel enthalten:
"4. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der ver-arbeiteten Daten und der zugehörigen Datenträger ausgeschlossen [Diese Klausel muss wegen § 11 Nr. 2 AGB gesondert vereinbart werden]."
Lustig, wie?! Den § 11 Nr.2 AGBG (nur das kann wohl gemeint sein) gibt es bekanntlich seit dem 01.01.2002 nicht mehr, nachdem das ehemalige AGBG in das BGB übergegangen ist. Aber dies nur am Rande...
Sorry, lustig ist diese Stelle in Klammer der Ziffer 4 (wurde eben nicht übernommen): "Diese Klausel muss wegen § 11 Nr. 2 AGB gesondert vereinbart werden."