Brüssel hat gesprochen: EU/US Safe Harbor bleibt, aber muss seitens der USA „angepasst“ werden

von Dr. Axel Spies, veröffentlicht am 27.11.2013

Heute hat die Europäische Kommission ein MEMO zu „Restoring Trust in EU-US data flows“ veröffentlicht und sich, wie hier schon diskutiert,  u.a. für die Beibehaltung der EU/US Safe Harbor Prinzipien entschieden.

Gleichzeitig hat sie aber 13 Empfehlungen ausgesprochen, um das Safe Harbor System zu verbessern. Es soll für EU-Daten „sicherer“ werden. Andernfalls drohen „Konsequenzen“, da die Kommission behauptet, Kompetenz zur Aussetzung oder Anpassung der EU-Safe Harbor-Entscheidung zu haben.  Die Empfehlungen dürften für das US Department of Commerce und US -Unternehmen insgesamt schwer zu verdauen sein. Drei Punkte fallen besonders ins Auge:

Zum Thema „Transparenz“:

  • Die [EU/US Safe Harbor] zertifizierten Unternehmen sollen ihre Datenschutzrichtlinien sowie die Datenschutzbestimmungen von [allen] Verträgen, die sie mit Subunternehmern schließen, z. B. Cloud-Computing-Services, veröffentlichen.

Zum Thema „Durchsetzung“ :

  • Im Anschluss an die Zertifizierung oder Re-Zertifizierung von Unternehmen unter Safe Harbour, sollte ein bestimmter Prozentsatz dieser Unternehmen vom Amts wegen auf die tatsächliche Einhaltung der Datenschutzbestimmungen überprüft werden […].

Zum Thema „Zugriff durch US-Behörden“:

  • In den Datenschutzrichtlinien der zertifizierten Unternehmen sollten Informationen über den Umfang enthalten sein, in dem US-Gesetze es den US-Behörden erlauben, Daten, die unter Safe-Harbour übertragen werden, zu sammeln und zu verarbeiten. Insbesondere sollten die Unternehmen ermutigt werden, in ihren Datenschutzrichtlinien anzugeben, in welchen Fällen sie Ausnahmen von den EU/US Safe Harbor Grundregeln [keine Daten an Dritte weiterzugeben] machen müssen, um den Anforderungen in den USA in Sachen nationaler Sicherheit oder Strafverfolgung zu entsprechen.

Was halten Sie von den Empfehlungen? Wird sich nun etwas ändern?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

3 Kommentare

Kommentare als Feed abonnieren

Bild von Andreas Splittgerber Andreas Splittgerber kommentiert am

Die EU hatte eine schwierige (unlösbare?) Aufgabe. Ob sich mit diesen 13 Prinzipien aber grundlegend etwas ändert, ist mehr als fraglich. Die 13 Prinzipien sprechen meiner Ansicht nach Punkte an, die ohnehin - auch ohne NSA - schon Schwachstellen von Safe Harbor waren.

Speziell in Hinblick auf NSA/Drittzugriffe werden nur Transparenzregelungen vorgeschlagen und das Beispiel folgender transparenter Datenschutzpolicy aufgeführt: We may be obligated by mandatory law to disclose your personal data to certain authorities or other third parties, for example, to law enforcement agencies in the countries where we or third parties acting on our behalf operate.” . Ich meine nicht, dass dies ausreichende Transparenz ist, die den Betroffenen hilft. Das Grundproblem ist aber hier, wie auch bei anderen Fragen des Datentransfers, dass unterschiedliche Rechtsordnungen aufeinandertreffen. Die Ausweitung des territorialen Anwendungsbereichs des EU-Datenschutzrechts im Entwurf der EU-Grundverordnung, die von der EU-Kommission in ihrem Papier auch genannt wird, ist schon eher ein Mittel, diesen Konflikt besser in den Griff zu bekommen.

5

Bild von Isabell Gernand Isabell Gernand kommentiert am

Ich stimme dem zu. Die Schwachstellen von Safe Harbor werden durch die Empfehlungen der Kommission (noch einmal) deutlich gemacht, durch die 13 Prinzipien aber wohl nicht abgeschafft.

Es scheint als könne die EU bei allen Alternativen im Umgang mit Safe Harbor nur verlieren.

Malmström meint ja zu Recht, dass sich Safe Harbor als ein "wichtiges Instrument für den Datenaustausch zwischen der EU und den USA erwiesen" hat. In den 13 Jahren seines Bestehens hätten sich bereits 3000 Firmen unter seinen Schirm begeben. Von dem Datentransfer profitiert natürlich die europäische Wirtschaft.

Die angesprochene Klausel, die einen Zugriff auf die übertragenen Daten zur Aufrechterhaltung der nationalen Sicherheit erlaubt, ist andererseits (aus Datenschutzgesichtspunkten) ein Einfallstor für Missbrauch. Bei der Anwendung der Klausel sei der Verhältnismäßigkeitsgrundsatz zu wahren.

Ja, aber welcher Verhältnismäßigkeitsgrundsatz? Der europäische oder der amerikanische? Diese "Generalklausel" und ihre Auslegung unter zwei Rechtssystemen, die so grundlegend verschieden sind, ist wohl Ausgangspunkt des Problems.

 

Natürlich kann man den USA nicht unsere Maßstäbe der Verhältnismäßigkeit aufzwingen... Aber irgendein regulatorischer Kompromiss sollte doch gefunden werden. Eventuell ist es auch sinnvoll den USA bei dem Rahmenabkommen zum Datenschutz im Strafverfolgungssektor etwas entgegenzukommen, dafür im Gegenzug aber zu fordern, dass eine Ausweitung des territorialen Anwendungsbereichs des EU-Datenschutzrechts akzeptiert und anerkannt wird. Fraglich ist nur, ob dies ohne "Drohungen" möglich ist, da jetzt ja auch schon der Wahlkampf beginnt. Das EU-Parlament stellt  (zumindest heute) Safe-Harbor-Abkommen in Frage und hatte zuvor bereits gefordert "Safe Harbor auszusetzen"

http://m.heise.de/newsticker/meldung/EU-Parlament-stellt-Safe-Harbor-Abkommen-in-Frage-2059084.html

 

 

 

 

0

Bild von Isabell Gernand Isabell Gernand kommentiert am

Der Artikel "Kampf der Kulturen: Der präventive deutsche Datenschutz liegt quer zur pragmatischen Rechtskultur in Amerika. Eine Harmonisierung muss scheitern." in der FAZ vom 28.11. erklärt meiner Ansicht nach sehr gut, warum beim Thema Datenschutz zwischen Deutschland (sowie Europa) und den USA ein Konsens kaum möglich ist.

http://www.faz.net/aktuell/politik/staat-und-recht/praeventiver-datenschutz-kampf-der-kulturen-12685796.html

"Das Konzept des Datenschutzes als vorgelagerte Gefährdungsabwehr liegt quer zur amerikanischen Rechtstradition und politischen Kultur. Der angelsächsische Pragmatismus schlägt sich auch in der Rechtskultur nieder. Sie neigt weniger zu Prävention, System und Antizipation, sondern entwickelt sich anhand einzelner tatsächlich auftretender Problemfälle - archetypisch im Common Law. In ihm werden keine Lösungen für potentielle Probleme gesucht, sondern Probleme nur und vor allem erst dann behandelt, wenn sie sich tatsächlich stellen. Nirgendwo ist dies deutlicher als beim amerikanischen Verbraucherschutz, der nur wenige Regelungen aufweist, aber im Schadensfall über das Deliktsrecht im Nachhinein zum Teil extreme Entschädigungspflichten kennt. Erst nach dem Eintritt der ersten Schäden wird jeder Kaffeebecher mit der Warnung „Caution Contents Hot“ versehen. Ein Recht wie das Recht auf informationelle Selbstbestimmung, das der Abwehr von Gefährdungen, also der Abwehr bloß potentieller Schäden gilt, fügt sich in diese Tradition nicht ohne weiteres ein." [...]

Die unterschiedlichen politischen und rechtlichen Kulturen in Europa und Amerika können auch die unterschiedlichen Reaktionen auf die jüngsten Enthüllungen erklären. Vor dem Hintergrund des deutschen und auch europarechtlichen Verständnisses des Datenschutzes sind bereits die Überwachung und Datensammlung als solche ein Eingriff in ein Recht, dass der Abwehr von Missbrauchsgefahren gilt. Für die amerikanische Perspektive liegt es demgegenüber näher, nicht so sehr auf einen potentiellen, sondern einen tatsächlichen Missbrauch zu schauen. Dabei ist noch offen, ob die NSA nicht nur unverhältnismäßig, maß- und rücksichtslos Daten erhoben hat, sondern diese Daten auch zu [...] Manipulationen missbraucht hat [...]

 

Eine Harmonisierung beim Umgang mit personenbezogenen Daten ist daher kaum möglich. Der Ansatz, gemeinsame Regeln für Transparenz bei der Erhebung und Nutzung der Daten zu finden, ist schon eher zielführend.

0

Kommentar hinzufügen