EU: Transatlantischer Datenschutz bedarf der Verbesserung
Die EU-Kommission fordert Korrekturen in der Anwendung der Safe-Harbor-Regeln, die US-Unternehmen vom EU-Verbot der Weitergabe von Kundendaten in nicht datenschutzfreundliche Länder ausnehmen.
Die EU-Kommission fordert Korrekturen in der Anwendung der Safe-Harbor-Regeln, die US-Unternehmen vom EU-Verbot der Weitergabe von Kundendaten in nicht datenschutzfreundliche Länder ausnehmen. In dem Abkommen ist das Konzept des so genannten "Sicheren Hafens" (Safe Harbor) festgehalten, bei dem sich Unternehmen freiwillig zu angemessenen Regeln des Datenschutzes verpflichten, für die sie von Kontrollorganisationen wie eine Art "Siegel" erhalten. Damit verpflichten sie sich, diese Regeln einzuhalten. Bei Verletzung können die Federal Trade Commission und, im Fall von Luftlinien, das US-Verkehrsministerium rechtlich einschreiten. Die Unternehmen, die sich dem Prinzip des "Sicheren Hafens" unterwerfen, müssen sich in einer öffentlich einsehbaren Liste des US-Wirtschaftsministeriums eintragen. Falls sie "anhaltend" die Prinzipien nicht beachten, werden sie aus der Liste wieder gelöscht. Überdies müssen die Unternehmen für Beschwerden seitens von EU-Bürgern ein Konfliktlösungsverfahren angeben. "In vielen Fällen" werde es auch möglich sein, ein US-Unternehmen vor ein US-Gericht zu bringen, beispielsweise wegen falscher Darstellung des Datenschutzes, was strafbar ist.
In einem jetzt veröffentlichten Bericht fordert die Generaldirektion Binnenmarkt das US-Handelsministerium und die Federal Trade Commission dazu auf, die Einhaltung der Datenschutzbestimmungen, zu denen sich die teilnehmenden US-Unternehmen selbst verpflichten, verstärkt zu überprüfen. Die Untersuchung der Generaldirektion Binnenmarkt, der bereits eine längere Studie durch externe Wissenschaftler vorangegangen war, habe gezeigt, dass kaum ein Unternehmen alle sieben Bedingungen des Abkommens erfülle. Man hoffe, so der Bericht, dass die gemachten Empfehlungen als Fortsetzung des guten Dialoges mit der US-Handelsministerium unterstehenden FTC verstanden werden.
Die Kritik der Kommission richtet sich vor allem auf das Versäumnis einiger der untersuchten Unternehmen, sich erklärtermaßen den Safe-Harbor-Prinzipien zu unterwerfen. Ohne eine solche Erklärung könnten die Bestimmungen im Streitfall nicht durchgesetzt werden, fürchtet man bei der Kommission. Einzelne Unternehmen veröffentlichten ihre Datenschutzerklärungen nicht auf ihren Webseiten, sondern verwiesen etwa auf ein Intranet. Das reicht nach Ansicht der Kommission allerdings nicht aus, daher sollte die FTC Unternehmen künftig nur dann auf die Liste der nach den Safe-Harbor-Abkommen privilegierten Unternehmen aufnehmen, wenn sie vorab diese Punkte überprüft hat. Die Kommission hält auch kontinuierliche Stichproben für notwendig.
Teilweise falle es den Unternehmen ganz offensichtlich auch schwer, die Safe-Harbor-Prinzipien in ihre eigenen Datenverarbeitungskonzepte zu übersetzen, lautet eine weitere Kritik. Oft sei es den Kunden nicht möglich, die genauen Datenverarbeitungsschritte zu erkennen, weil diese nicht klar beschrieben würden. Opt-Out-Mechanismen fehlten ebenso wie die Möglichkeit, die eigenen Datensätze zu korrigieren. Auch die Hinweise auf Schlichtungsstellen und noch mehr auf den Kontakt zum EU-Safe-Harbor-Panel, der in Punkt neun der FAQ zu den Prinzipien festgeschrieben ist, würden den Kunden vorenthalten.
Mit Blick auf die Zahlen hätte die Kommission gerne ein wenig mehr Fortschritte. Rund 150 Unternehmen kamen jeweils in den vergangenen beiden Jahren hinzu, die Zahl von insgesamt 400 ist aus Sicht der Europäer allerdings durchaus noch ausbaufähig. Das US-Handelsministerium, so schreibt die EU, solle außerdem die Webseite, die die Safe-Harbor-Unternehmen listet, weiter verbessern, vor allem mit Blick auf die Transparenz, etwa durch Links zu den entsprechenden Datenschutzbestimmungen. Zudem sollten die Unternehmen schon hier ihre Bereitschaft erklären, sich eventuellen Schlichterverfahren zu unterwerfen. (Monika Ermert) / (jk)