Der Beschluss des Düsseldorfer Kreises zu Safe Harbor

Am 29. April 2010 hat sich der Düsseldorfer Kreis für die Zulässigkeit von Datentransfers von Deutschland in die USA an jene zertifizierten US-Unternehmen entschieden, die dem Safe Harbor Abkommen beigetreten sind. Dabei wurden unter anderem verschärfte Richtlinien erlassen, welche den Unternehmen erweiterte Pflichten aufbürden. Der Düsseldorfer Kreis ist die Bezeichnung für den Zusammenschluss von Datenschutz-Aufsichtsbehörden von nicht öffentlichen Stellen, also beispielsweise Unternehmen.

Grundsätzlich ist ein Export von Daten aus Deutschland heraus gem. §4b, c BDSG solange unbedenklich, wie sich die Unternehmen in der EU oder im Europäischen Wirtschaftsraum befinden. Bei Unternehmen, welche sich nicht in diesen Ländern befinden, ist eine gesonderte Überprüfung notwendig, ob die Behörde, welche die Daten erhalten soll, ein angemessenes Datenschutz-Niveau aufweist. Die EU Kommission hat dabei für ausgewählte Länder das Schutzniveau nach der dortigen Rechtslage für das ganze Land bestimmt.

Hinsichtlich den USA jedoch wurde dabei eine Sonderlösung durch die EU vereinbart, obwohl gerade in den vereinigten Staaten kein angemessenes Datenschutz-Niveau festgestellt werden konnte. Hier kam das Safe Harbor-Abkommen zum Einsatz: US-Unternehmen konnten sich bei einer US-Behörde als Unternehmen mit angemessenen Datenschutz-Schutzniveau zertifizieren lassen. Voraussetzung dafür war, dass das Unternehmen dem Abkommen beigetreten ist und sich den dort statuierten Regelungen zum Umgang mit personenbezogenen Daten formal unterworfen hat. Damit stand dem Export von Daten an das US-Unternehmen nichts mehr im Wege. Bisher war der Datentransfer nach §4b, c BDSG grundsätzlich gestattet, so dass beim Datenexport keine Sanktionen ausgesprochen wurden.

Dieses Safe Harbor-Abkommen wies jedoch enorme Datenschutzdefizite auf, da mangels Kontrolle durch die öffentliche Seite die Bestimmungen des Abkommens quasi nicht eingehalten wurden und ein angemessenes Datenschutz-Schutzniveau gerade nicht gewährleistet wurde.

Mit dem Beschluss des Düsseldorfer Kreises sind deutsche Unternehmen nun verpflichtet, die Einhaltung der datenschutzrechtlichen Mindeststandards aktiv zu überprüfen. Daraus folgt, dass das datenempfangende Unternehmen nun schriftlich nachweisen muss, dem Safe Harbor-Abkommen beigetreten zu sein, wobei der Nachweis nicht älter als sieben Jahre sein darf und die wesentlichen Verpflichtungen des Abkommens enthalten muss.

Darüber hinaus muss der Nachweis eingeholt werden, dass die Informationspflichten gegenüber den Betroffenen eingehalten werden. Das Unternehmen muss die Betroffenen darüber informieren, zu welchem Zweck die Daten erhoben werden. Dieser Nachweis muss der verantwortlichen Stelle der Aufsichtsbehörde vorgelegt werden können. Weiterhin sollen Verstöße gegen Safe Harbor-Bestimmungen der Aufsichtsbehörde nun direkt angezeigt werden.

Diese Vereinbarungen des Düsseldorfer Kreises werden damit zu Voraussetzungen für den Transfer von Daten in die USA. Wird gegen diese Voraussetzungen verstoßen, so haften die deutschen Unternehmen, welche Daten exportieren, nun mit Bußgeldern bis zu 300.000.- Euro neben möglichen Schadensersatzforderungen.

Fazit: Die Vorgaben des Düsseldorfer Kreises sollten von datenexportierenden Unternehmen in der Praxis ernst genommen werden. Der Export von personenbezogenen Daten an Safe Harbor-zertifizierte Unternehmen wird zwar dadurch einerseits erschwert, andererseits wird den Datenschutzvorgaben des Safe-Harbor-Abkommens endlich mehr Rechnung getragen.