Verschärfte Anforderungen für Datentransfers in die USA unter Safe Harbor

von Rechtsanwalt Dr. Thomas Helbing

Die obersten deutschen Datenschutz-Aufsichtsbehörden stellen seit April 2010 verschärfte formale Anforderungen an die Übermittlung personenbezogener Daten an Unternehmen in den USA nach dem "Safe Harbor" Programm.

Mit dem Beschluss des "Düsseldorfer Kreises" vom 29. April 2010 haben die Datenschutzbehörden mitgeteilt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe Harbor Zertifizierung von US Unternehmen verlassen dürfen. Die Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe Harbor Zertifizierung und Beachtung der Safe Harbor Grundsätze nachweisen lässt.<!--break-->

Hierzu gehört nach Auffassung der Behörden, dass die Datenexporteure jedenfalls folgende Mindestprüfungen vornehmen:

Datum der Zertifizierung der Datenimporteure: Zertifizierungen die älter als sieben Jahre sind, sind nicht mehr gültig. Umsetzung der Pflicht zur Information der Betroffenen: Gemäß dem "Notice" Prinzip in den Safe Harbor Grundsätzen hat der Datenimporteur in den USA Privatpersonen darüber zu informieren, zu welchem Zweck personenbezogene Daten erhoben und verwendet werden, wie sich Betroffene mit Nachfragen und Beschwerden an den Datenimporteur wenden können und an welche Dritte die Daten weitergegeben werden.

Datenexporteure in Deutschland müssen diese Mindestprüfung dokumentieren und auf Nachfrage den Aufsichtsbehörden nachweisen, so der Beschluss.

Hintergrund

Exportieren Unternehmen Mitarbeiter- oder Kundendaten oder sonstige personenbezogene Daten an Unternehmen außerhalb der EU, so müssen gemäß §§ 4b, 4c Bundesdatenschutzgesetz (BDSG) regelmäßig Maßnahmen getroffen werden, um ein "angemessenes Datenschutzniveau" beim Empfänger sicherzustellen. Datenempfänger in den USA können hierzu an dem Safe Harbor Programm teilnehmen. Im Rahmen einer Selbstzertifizierung erklären die Unternehmen dabei, die Safe Harbor Grundsätze beim Umgang mit den erhaltenen personenbezogenen Daten zu beachten und bestätigen dies gegenüber der Federal Trade Commission (FTC).

Wichtig: Ein Datenexport liegt auch dann vor, wenn keine physische Übermittlung stattfindet, sondern ein Unternehmen in den USA Zugriff auf Kunden- oder Mitarbeiterdaten eines deutschen Unternehmens hat. Die Regeln über den Datenexport gelten zudem auch innerhalb von Konzernen, z.B. wenn eine Muttergesellschaft in den USA Daten der Tochtergesellschaften abruft.

Die Federal Trade Commission nimmt derzeit keine flächendeckende Prüfung der Safe Harbor Selbstzertifizierungen vor. Zu dem Schritt der deutschen Behörden dürfte auch eine Studie beigetragen haben, die erhebliche Defizite bei der tatsächlichen Umsetzung der Safe Harbor Grundsätze aufgedeckt hat.…

» Vollständiger Artikel