Düsseldorfer Kreis: Richtlinien zu Safe Harbor Zertifizierung

Der "Düsseldorfer Kreis" hat kürzlich einen Beschluss zum Umgang von Unternehmen mit Datentransfers auf Grundlage von "Safe Harbor" Vereinbarungen erlassen. Danach müssen deutsche Unternehmen bei einem solchen Datentransfer aktiv prüfen, ob das Zielunternehmen die "Safe Harbor" Richtlinien tatsächlich einhält.

Der "Düsseldorfer Kreis" ist eine informelle Vereinigung der obersten deutschen Datenschutzbehörden, die sich mit der Einhaltung des Datenschutzes im nicht-öffentlichen Bereich befasst. Die Beschlüsse des Kreises haben entsprechend zwar keine unmittelbar rechtssetzende Wirkung, gelten aber als verlässliche Leitlinie für das künftige Handeln der Datenschutzbehörden.

Der Beschluss vom 29. April 2010 betrifft die Übertragung personenbezogener Daten von Deutschland in die USA, konkret die Vereinbarung vom Juli 2000 zwischen der EU und dem US-Handelsministerium zum "Safe Harbor". Diese Vereinbarung dient seither der Sicherstellung eines angemessenen Datenschutzniveaus in US-Unternehmen, welche personenbezogene Daten aus Deutschland importieren.

Seit ihrer Einführung haben die "Safe Harbor" Regelungen den rechtmäßigen Transfer personenbezogener Daten in die USA erheblich erleichtert. Die Regelungen basieren auf einer Selbstzertifizierung der datenimportierenden Unternehmen. Da es bei dieser Selbstzertifizierung seitens der europäischen wie auch der amerikanischen Aufsichtsbehörden an einer flächendeckende Überprüfung der selbstzertifizierten Unternehmen fehlt, geriet das Verfahren zuletzt zunehmend in die Kritik.

Diese Kritik nahm der "Düsseldorfer Kreis" zum Anlass zu besagtem Beschluss. Danach reicht es für den deutschen Datenexporteur nicht aus, sich auf die Angabe des Datenimporteurs zu verlassen, er biete auf "Safe Harbor"-Grundlage ein angemessenes Datenschutzniveau. Stattdessen seien Unternehmen, die persönliche Daten von Deutschland in die USA exportieren, zu einer aktiven Überprüfung der tatsächlichen Einhaltung der "Safe Harbor" Richtlinien verpflichtet. Diese aktive Prüfpflicht umfasse zumindest vom Datenimporteur einen schriftlichen Nachweis zum einen für das Bestehen des Zertifikats, welches zudem nicht älter als sieben Jahre sein darf, und zum anderen für die Befolgung der Informationspflichten nach den "Safe Harbor" Vereinbarungen. Diese Informationspflicht umfasst die unmissverständliche Benachrichtigung des Betroffenen über den Grund der Datenverarbeitung, darüber, wie der Betroffene den Datenverarbeiter im Falle von Fragen oder Beschwerden erreichen kann, an welche Kategorien von Dritten die Daten weitergegeben werden dürfen und in welcher Weise die Verwendung und Weitergabe der Daten eingeschränkt werden kann.

Zudem sei der Datenexporteur auf Nachfrage der zuständigen Datenschutzbehörde verpflichtet, anhand einer schriftlichen Dokumentation nachzuweisen, dass er die Einhaltung dies…