Transatlantische Kontaktgruppe zum Datenschutz

Bei der Konferenz "Cross Border Data Flows, Data Protection and Privacy" Anfang der Woche in Washington vereinbarten die europäische Artikel-29-Datenschutzgruppe, das US-Department of Commerce (DoC) und die Federal Trade Commission (FTC) eine Kontaktgruppe, die sich mit weltweiten Datenschutzregeln befassen soll. Einen globalen Standard nach dem Modell des Safe-Harbor-Programms der EU könne man zwar nicht erwarten, sagte der Vorsitzende der Artikel-29-Gruppe, der deutsche Bundesbeauftragte für den Datenschutz Peter Schaar, im Gespräch mit heise online."Wir sind uns aber mit den US-Kolleginnen und -Kollegen einig, dass man bei Datentransfers in andere Länder wie Japan oder China nicht auf Datenschutzanforderungen verzichten kann." Die Konferenz wird einmal jährlich im Rahmen des Safe-Harbor-Abkommens zwischen den US-Behörden und der EU-Kommission abgehalten. Eine Fortsetzung der Konferenz soll es im kommenden Jahr aber schon im Juli geben.

Das Abkommen über den so genannten "Sicheren Hafen" (Safe Harbor) sieht vor, dass sich Unternehmen freiwillig zu angemessenen Regeln des Datenschutzes verpflichten, auch wenn es entsprechende Bestimmungen etwa in den USA nicht gibt. Dafür erhalten sie dann von Kontrollorganisationen eine Art "Siegel". Damit verpflichten sie sich, diese Regeln einzuhalten. Bei Verletzung können die Federal Trade Commission und, im Fall von Luftlinien, das US-Verkehrsministerium rechtlich einschreiten. Die Unternehmen, die sich dem Prinzip des "Sicheren Hafens" unterwerfen, müssen sich in einer öffentlich einsehbaren Liste des US-Wirtschaftsministeriums eintragen. Falls sie "anhaltend" die Prinzipien nicht beachten, werden sie aus der Liste wieder gelöscht. Überdies müssen die Unternehmen für Beschwerden seitens von EU-Bürgern ein Konfliktlösungsverfahren angeben. Es soll auch möglich sein, ein US-Unternehmen vor ein US-Gericht zu bringen, beispielsweise wegen falscher Darstellung des Datenschutzes, was strafbar ist.

Schaar sagte nun zu der neuen Kontaktgruppe, sie werde sich die in anderen Ländern gebräuchlichen Datenschutzmaßnahmen anschauen, etwa die so genannten Binding Corporate Rules (BCR). Wenn solche verbindlichen Regeln in den Unternehmen grundlegende Normen der EU-Datenschutzrichtlinie einhalten, können sie als Alternative zum Safe-Harbor-Konzept gelten. "Natürlich können das nicht irgendwelche Regeln sein", betonte Schaar. Vielmehr seien entsprechende Konzepte zu prüfen und gegebenenfalls zu zertifizieren. "Diese Mechanismen funktionieren im Moment noch nicht so, wie man sich das wünschen würde", sagte Schaar. Dennoch sähen die Safe-Harbor-Partner EU und USA darin eine Möglichkeit, den Datenschutz auch bei Transfers in Drittstaaten zu verbessern. Für US-Unternehmen, die dem Safe-Harbor-Programm beitreten, anerkennt die EU-Kommission ein angemessenes Datenschutzniveau im Sinne der EU-Datenschutzrichtlinie von 1995.

Die American Chamber of Commerce to the EU (AMCHAM EU) würde laut einem Industrievertreter begrüßen, wenn die europäischen Datenschützer mehr Zeit und Mittel darauf verwendeten, BCRs zu prüfen, als nach dem Safe-Harbor-Prinzip zu verfahren. Die AMCHAM werde ihre Mitglieder anhalten, solche BCRs bis 2009 in ihren Unternehmen einzuführen. Auch eine reine Missbrauchsaufsicht, wie sie die FTC verfolgt, wurde von Seiten der US-Unternehmen angeregt.

Fred Cate, Direktor am Center for Applied Cybersecurity Research der Indiana University, erklärte das Safe-Harbor-Konzept sogar zum Auslaufmodell. "Safe Harbor war in vieler Hinsicht durchaus erfolgreich. Aber es hat eher Wege aufgezeigt, sich mit den Problemen zu arrangieren, als sie wirklich zu lösen", teilte Cate auf Anfrage von heise online mit. Die Ausnahme von Finanzdienstleistungen sei etwa von großer Bedeutung. "Zudem ist die bilaterale Natur schlecht geeignet, um Fragen der zunehmend globalen Datenflüsse zu lösen", meinte Cate. Bilaterale Lösungen seien ein guter Start, aber es gelte, global zu denken. Die Geschwindigkeit digitaler Datenflüsse ruiniere jede Vereinbarung, die vor dem explosionsartigen Wachstum des Datenaustauschs getroffen worden seien, sagte Cate. 2006 habe der Datenaustausch 160 Milliarden Gigabyte umfasst, und er wachse permanent und immer schneller. Neue Daten von Sensornetzen, Videoüberwachung oder Mautdaten verschlimmerten die Situation. Zudem habe das Abkommen die wahre Orgie staatlicher Überwachung nicht verhindert. Mit National Security Letters ausgestattet hätten sich die Behörden in den USA Zugang zu vielerlei Daten verschafft.

In diesem Punkt stimmt Schaar zu. "Wenn staatliche Überwachung weiter ungebremst ausgebaut wird, stellt sich in der Tat die Frage, ob wir nicht das konterkarieren, was wir im privaten Bereich erreicht haben", sagte der Bundesdatenschützer. Die beschlossene Vorratsdatenspeicherung sei dafür das klassische Beispiel. Dort würden genau die Daten, zu deren Löschung man die Unternehmen verpflichtet habe, nun länger als nötig aufbewahrt. Das Safe-Harbor-Prinzip nennt Schaar aber im Gegensatz zu Cate ein echtes Erfolgsmodell. 1400 meist große US-Unternehmen seien dem Safe-Harbor-Programm beigetreten, sagte Schaar. Auch der Finanzdienstleister SWIFT hatte kürzlich erklärt, er werde am Safe-Harbor-Programm teilnehmen. Untersuchungen der spanischen Datenschutzbehörde in Call-Centern in den USA hätten ergeben, dass die geforderten Standards recht gut eingehalten würden.

Die Spanier haben sich im Bereich der Durchsetzung und auch bei der Verhängung von Strafen offenbar besonders hervorgetan. Rund 300 Bußgelder hat der spanische Datenschutzbeauftragte im ersten Halbjahr 2007 verhängt und dabei insgesamt 22 Millionen Euro von Datenschutzsündern verlangt. Schaar sagte, er habe auch fürs Bundesdatenschutzgesetz eine Erhöhung der möglichen Bußgelder vorgeschlagen. Spanien und auch die FTC machten es vor, dass man am ehesten ernst genommen werde, wenn die entsprechenden Bußgelder auch wehtun. (Monika Ermert) / (jk)