Verschärfte Anforderungen für Datentransfers in die USA unter Safe Harbor

Dr. Thomas Helbing

Die obersten deutschen Datenschutz-Aufsichtsbehörden stellen seit April 2010 verschärfte formale Anforderungen an die Übermittlung personenbezogener Daten an Unternehmen in den USA nach dem "Safe Harbor" Programm.

Mit dem Beschluss des "Düsseldorfer Kreises" vom 29. April 2010 haben die Datenschutzbehörden mitgeteilt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe Harbor Zertifizierung von US Unternehmen verlassen dürfen. Die Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe Harbor Zertifizierung und Beachtung der Safe Harbor Grundsätze nachweisen lässt.

Hierzu gehört nach Auffassung der Behörden, dass die Datenexporteure jedenfalls folgende Mindestprüfungen vornehmen:

  1. Datum der Zertifizierung der Datenimporteure: Zertifizierungen die älter als sieben Jahre sind, sind nicht mehr gültig.
  2. Umsetzung der Pflicht zur Information der Betroffenen: Gemäß dem "Notice" Prinzip in den Safe Harbor Grundsätzen hat der Datenimporteur in den USA Privatpersonen darüber zu informieren, zu welchem Zweck personenbezogene Daten erhoben und verwendet werden, wie sich Betroffene mit Nachfragen und Beschwerden an den Datenimporteur wenden können und an welche Dritte die Daten weitergegeben werden.

Datenexporteure in Deutschland müssen diese Mindestprüfung dokumentieren und auf Nachfrage den Aufsichtsbehörden nachweisen, so der Beschluss.

Hintergrund

Exportieren Unternehmen Mitarbeiter- oder Kundendaten oder sonstige personenbezogene Daten an Unternehmen außerhalb der EU, so müssen gemäß §§ 4b, 4c  Bundesdatenschutzgesetz (BDSG) regelmäßig Maßnahmen getroffen werden, um ein "angemessenes Datenschutzniveau" beim Empfänger sicherzustellen. Datenempfänger in den USA können hierzu an dem Safe Harbor Programm teilnehmen. Im Rahmen einer Selbstzertifizierung erklären die Unternehmen dabei, die Safe Harbor Grundsätze beim Umgang mit den erhaltenen personenbezogenen Daten zu beachten und bestätigen dies gegenüber der Federal Trade Commission (FTC).

Wichtig: Ein Datenexport liegt auch dann vor, wenn keine physische Übermittlung stattfindet, sondern ein Unternehmen in den USA Zugriff auf Kunden- oder Mitarbeiterdaten eines deutschen Unternehmens hat. Die Regeln über den Datenexport gelten zudem auch innerhalb von Konzernen, z.B. wenn eine Muttergesellschaft in den USA Daten der Tochtergesellschaften abruft.

Die Federal Trade Commission nimmt derzeit keine flächendeckende Prüfung der Safe Harbor Selbstzertifizierungen vor. Zu dem Schritt der deutschen Behörden dürfte auch eine Studie beigetragen haben, die erhebliche Defizite bei der tatsächlichen Umsetzung der Safe Harbor Grundsätze aufgedeckt hat. Die Datenschutzbehörden stellen das Safe Harbor Programm nicht grundsätzlich in Frage, verlangen aber von den Datenexporteuren, sich über die tatsächliche Einhaltung beim Datenempfänger zu vergewissern. Gelingt dies nicht, ist auf alternative Instrumente, insbesondere Standardvertragsklauseln, zurückzugreifen.

Handlungsempfehlung

Datenexporteure, die bereits personenbezogene Daten an US Unternehmen auf Basis des Safe Harbor Programms übermitteln, sollten diese zeitnah kontaktieren und geeignete Nachweise verlangen, etwa eine aktuelle Bestätigungserklärung gegenüber dem US Department of Commerce, Privacy Policies und Testate unabhängiger Dritter.

Mit Hilfe der online abrufbaren Safe Harbor Liste kann ermittelt werden, ob ein US Unternehmen an dem Programm teilnimmt. Dabei sollte aber beachtet werden, dass für die Richtigkeit der Liste das DoC keine Gewähr übernimmt, die genannte Studie hat zahlreiche Ungereimtheiten bei der Liste aufgedeckt. In der Safe Harbor Liste sollte vorallem nachgesehen werden, ob der Status der Zertifizierung noch "current" (aktuell) oder bereits "not current" (abgelaufen) ist und ob die exportierten Daten von der Selbstzertifizierung erfasst sind, da Datenimporteure die Anwendung von Safe Harbor auf bestimmte Daten beschränken können (z.B. Personaldaten ausnehmen). Eine weitere Prüfmöglichkeit ist, die Webseite des Datenimporteurs zu besuchen und dort die Datenschutzhinweise (Privacy Policy) und Zertifizierungen zu studieren.

Für die Zukunft sollten Datenexporteure in ihre Verträge mit Safe Harbor Unternehmen eine Verpflichtung der US Unternehmen aufnehmen, die Safe Harbor Zertifizierung während der Vertragslaufzeit aufrechtzuerhalten, die entsprechenden Grundsätze zu beachten und hierfür geeignete Nachweise zu erbringen. Für den Fall eines Verstoßes kann sich der Datenexporteur eine Meldung bei der für ihn zuständigen deutschen Aufsichtsbehörde vorbehalten.

Stichwörter:
Safe Harbor Düsseldorfer Kreis BDSG-1990
Rechtsgebiet
Datenschutzrecht