Safe-Harbor-Zertifizierung
Gemäß § 4b BDSG darf eine Übermittlung personenbezogener Daten nur in Länder des Europäischen Wirtschaftsraumes oder in Länder mit angemessenem Schutzniveau erfolgen. Zu letzteren gehören Kanada, Uruguay, Schweiz, Israel und andere – nicht die USA. Um die Datenübermittlung in die USA, die aufgrund der technischen und wirtschaftlichen Stärke der Supermacht für viele Unternehmen auch nicht zu vermeiden ist, zu legitimieren, fällte die EU-Kommission die „Safe-Harbor“-Entscheidung.
Eine Übermittlung von personenbezogenen Daten an US-Unternehmen, die sich bei dem US-Handelsministerium entsprechend zertifizieren lassen, ist auf Basis dieser „Safe-Harbor- Zertifizierung“ möglich. Die Safe-Harbor-Zertifizierung besteht aus sieben Datenschutzprinzipien (Informationspflicht, Wahlmöglichkeit, Weitergabe, Auskunftsrecht, Sicherheit, Datenintegrität Durchsetzung) und 15 sog. „Frequently Asked Questions (FAQs)“. Unterwirft sich ein amerikanisches Unternehmen den Prinzipien, kann das deutsche, übermittelnde Unternehmen von einem „angemessenen Datenschutzniveau“ ausgehen.
Aus Sicht der deutschen Aufsichtsbehörden ist das Safe-Harbor-Abkommen und die damit verbundene Selbstzertifizierung der Unternehmen nicht zufriedenstellend. Auf der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2015 betonten sie, dass die Safe Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA entfaltet. Begründet wurde dies damit, dass die Enthüllungen von Edward Snowden offengelegt hätten, dass US-Sicherheitsbehörden systematisch und massenhaft auf in die USA übermittelte personenbezogene Daten zugreifen würden.
Unternehmen, die trotz dieser Bedenken Daten in die USA übermitteln sollten vor Beauftragung eines US-amerikanischen Dienstleisters oder der Nutzung eines Dienstes prüfen:
- Welche personenbezogenen Daten und Datenkategorien werden übermittelt und wie sensibel sind diese?
- Liegt eine Safe-Harbor-Zertifizierung vor und wie aktuell ist diese (Liste erhältlich bei dem U.S. Department of Commerce – https://safeharbor.export.gov/list.aspx)?
- Wie gewährleistet das Unternehmen die Einhaltung der „Principles“?
- Verpflichtet sich das Unternehmen auf die Einhaltung der EU-Richtlinie 95/46/EG und des Bundesdatenschutzgesetzes?
- Welche technisch-organisatorischen Maßnahmen werden ergriffen, um die Sicherheit, Vertraulichkeit und Integrität der Daten einzuhalten, z. B. Zertifizierung nach ISO 27001, SOX, TRUSTe, Code of Conduct
Quellen und weiterführende Links:
Düsseldorfer Kreis https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung…
Landesbeauftragter für Datenschutz und Informationsfreiheit NRW https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inh…