Safe Harbor: Datenschutzbeschwerde gegen US-Firmen

Inhaltsverzeichnis

Eine US-Bürgerrechtsorganisation hat sich bei der Handelsaufsicht über 30 Internetfirmen wegen Datenschutzverletzungen von EU-Bürgern beschwert. Das Center for Digital Democracy (CDD) wirft den US-Unternehmen vor, dazu bewusst Lücken im umstrittenen Safe-Harbor-Abkommen zu missbrauchen. CDD-Direktor Jeff Chester wirft zugleich Washington und der zuständigen Federal Trade Commission (FTC) vor, das "Datenschutzversprechen gegenüber Europa zu brechen", indem sie diese Praxis dulden.

Zu den angeführten Firmen gehören Online-Vermarkter, Auskunfteien und Softwarehäuser wie Acxiom, Adobe, AOL, AppNexus, Criteo, Datalogix, DataXu, Merkle, Neustar, Salesforce.com, Sprinklr, Turn und Xaxis. Das CDD führt in seiner umfangreichen Eingabe aus, dass diese personenbezogene Informationen von EU-Bürgern im großen Umfang sammeln, auswerten und mit Dritten teilen, ohne die Betroffenen über das Ausmaß dieser Nutzung zu informieren und deren ausdrückliche Einwilligung einzuholen. Dies verletze die Safe-Harbor-Übereinkunft.

US-Unternehmen erfassen Nutzerspuren

Das vor 14 Jahren fertig gestellte Abkommen erlaubt Firmen einen Datentransfer über den Atlantik, wenn sie dort ein angemessenes Schutzniveau bereit halten. Zu den Grundsätzen gehören etwa die der Transparenz, der Zweckmäßigkeit der Informationsverarbeitung, der Datensicherheit sowie der Korrigierbarkeit der erfassten Informationen.

Die genannten Unternehmen erfassten gezielt Nutzerspuren und erstellten damit Profile, um ihnen etwa personalisierte Werbung zu servieren, heißt es in der Beschwerde. Konkret verweist das CCD auf das von AOL verwendete Adlearn-Verfahren. Dazu kommen Techniken zum Datenschürfen im großen Stil etwa bei Adobe. Andere Plattformen erlaubten es ihren Firmenkunden, große Mengen an Verbraucherinformationen einzusehen und mit anderen Datenbeständen zu verknüpfen, um detaillierte Marketingeinsichten zu generieren. Auch auf mobile Werbung setzende Unternehmen verfolgten die Tätigkeiten der Nutzer bis ins Detail, um die profitabelsten Kunden herauszufischen.

FTC-Aufsicht versagt

Das Safe-Harbor-Abkommen dient den aufgeführten Unternehmen laut CCD als Schutzschirm für rechtswidriges Verhalten. Das Abkommen setze auf einen freiwilligen "Selbstzertifizierungsprozess", in dem die Firmen zusicherten, in den USA vergleichbar hohe Datenschutzstandards einzuhalten, wie sie in der EU vorgeschrieben sind. Die Unternehmen hielten sich aber nicht daran und die Aufsicht durch die FTC versage.

"Die Beschwerde beschreibt das systematische Versagen von Safe Harbor", beklagen die CDD-Rechtsexperten. Diese funktioniere nicht wie beabsichtigt. Firmen umgingen bewusst die Standards, auf die sich Washington mit Brüssel geeinigt habe. Datenverarbeitende Firmen entpuppten sich unter diesem Mantel als Spezialisten im Geschäft mit "Big-Data"-Diensten und verletzten dabei im großen Stil die Rechte der EU-Bürger. Viele pflegten dabei sogar noch den Mythos einer "anonymen" Datenerhebung, während sie personenbezogene Informationen in rauen Mengen erhöben und nutzten.

Safe Harbor muss reformiert werden

Das CDD fordert daher eine umfangreiche Reform von Safe Harbor. Bis dahin sei das Abkommen auszusetzen. Die FTC müsse zudem die angeführten Verhaltensweisen prüfen und gegebenenfalls Sanktionen aussprechen.

Auch in Europa gibt es schwere Bedenken gegen die Übereinkunft bei Datenschützern und Politikern. Das EU-Parlament appellierte Anfang des Jahres im Zuge der NSA-Affäre an die EU-Kommission, das Abkommen zu kündigen. Die Kommission will Safe Harbor dagegen überarbeiten und erwartet dazu konkrete Korrekturvorschläge von US-Seite auf Basis eigener Empfehlungen. Die Reaktion aus Washington sollte eigentlich bis zum Sommer vorliegen, doch bis dato ist darüber nichts bekannt. (anw)