Safe Harbor – Kein sicherer Hafen für personenbezogene Daten

Nicht nur kulturell sondern auch beim Datenschutz klafft zwischen Amerika und Europa eine große Lücke, die täglich größer wird. Dabei gibt es mit Safe Harbor eine Vereinbarung zwischen den USA und der EU, die ein hohes Datenschutzniveau sicherstellen soll. Doch leider werden die Safe Harbor Principles genannten Grundsätze oft ignoriert.

Amerikaner glauben, dass Europäer und ganz besonders die Deutschen paranoid sind, wenn es um den Schutz der Privatsphäre geht. Sie staunen über die Massenhysterie, die in der Presse mit Schlagzeilen wie „StreetView schnüffelt private Daten“ angefacht wird. Und wenn Verbraucherministerin Ilse Aigner medienwirksam ihren Facebook-Account kündigt, dann schütteln ihre Kollegen in den USA nur den Kopf.

„Dafür gibt es doch Safe Harbor“, sagte mir kürzlich ein amerikanischer Kollege aus der Identity-Szene. Und im Prinzip hat er ja Recht: Das im Jahr 2000 zwischen US-Wirtschaftsministerium und EU-Kommission ausgehandelte Abkommen soll eigentlich sicherstellen, dass amerikanische Unternehmen die gleichen strengen Regeln in Sachen Datenschutz und Privatsphäre befolgen, wie sie in Europa seit Jahren üblich und von Gesetzes wegen vorgeschrieben sind.

Doch das ist nur graue Theorie, stellte im April diesen Jahres der Düsseldorfer Kries fest, ein Zusammenschluss von beamteten Datenschützern aus allen deutschen Bundesländern. In Wahrheit sei der sichere Hafen ein undurchsichtiger Sumpf, in dem nach Kräften getrickst und gelogen wird, dass sich die Balken biegen.

Damit bestätigen die Datenschützer aus Deutschland nur das Ergebnis einer Studie, die von der australischen Unternehmensberatung Galexia bereits 2008 vorgelegt wurde: Diese kommt zu dem Schluss, dass US-Unternehmen permanent und bewusst gegen das Safe-Harbor-Abkommen verstoßen. Jedem, der sich den Glauben an die Selbstregulierung erhalten hat, müssen sich bei der Lektüre ihres Berichts die Haare sträuben:

  • Nur 348 von 1.595 Unternehmen, deren Namen sich auf der vom Department of Commerce und der Europäischen Kommission gemeinsam verwalteten Liste findet, erfüllte damals auch nur annähernd die niedergeschriebenen Kriterien. Nur wenige Firmen hatten eine interne Datenschutzrichtlinie; und die meisten verstießen sogar offen gegen das Prinzip 7 des Abkommens, wonach Mitgliedsfirmen unabhängige Schiedsstellen für Endverbraucher benennen müssen.
  • 209 US-Unternehmen nannten eine Schiedsstelle, die so unsinnig teuer ist, dass sie niemand ernsthaft als Alternative in Erwägung ziehen kann; etwa die berühmt-berüchtigte American Arbitrations Association (AAA), die einen Stundensatz von bis zu 1.200 US-Dollar berechnet, zuzüglich einer nicht erstattbaren „Bearbeitungsgebühr“ von 950 Dollar.
  • 206 Unternehmen behaupteten auf ihrer Website, Mitglieder von Safe Harbor zu sein, waren es aber nachweislich nicht.
  • 20 Firmen präsentierten auf ihrer Webseite stolz ein Siegel des US-Wirtschaftsministeriums, das es gar nicht gibt.
  • 24 von ihnen gaben an, vom Department of Commerce zertifiziert zu sein – obwohl das Ganze auf Selbstzertifizierung beruht.

Im Frühjahr hat die Zeitschrift Öko-Test die Datenschutzregelungen der großen Web 2.0-Plattformen unter die Lupe genommen. Das Ergebnis war verheerend:

Facebook verstößt beispielsweise offen gegen deutsche Recht, weil es weder angibt welche Informationen an wen weitergegeben werden noch für welche Zwecke. Google führt in seiner Datenschutzerklärung den Begriff der “vertraulichen personenbezogenen Daten“ ein, deren Weitergabe der ausdrücklichen Zustimmung des Nutzers bedarf – als ob es daneben auch „nichtvertrauliche“ personenbezogene Daten gäbe, mit denen Google nach Gutdünken umgehen darf.

Twitter informiert auf seiner Website Nutzer darüber, dass man sich dort das Recht heraus nimmt, „Ihre Daten zu sammeln, um unseren Dienst mit der Zeit zu verbessern“. Doch nirgendwo steht, um welche Daten es sich dabei handelt oder was genau man damit anzustellen gedenkt. Damit verstößt das US-Unternehmen eklatant gegen die vier Grundprinzipien des deutschen Datenschutzes, nämlich Zweckbindung, Erforderlichkeit, Transparenz und Datensparsamkeit („minimal disclosure“). Da sich Twitter aber bislang gar nicht erst die Mühe gemacht hat dem Safe Harbor-Abkommen beizutreten, darf man sich eigentlich gar nicht wundern.

Der Anwalt Rainer Erd von der Sozietät Schmatz in Frankfurt hat sich kürzlich in der „Süddeutschen Zeitung“ über die Unverfrorenheit amerikanischer Unternehmen wie Google und Facebook erregt., Offenbar führen die Firmen europäische Konsumenten an der Nase herum indem sie vorgeben Teil von Safe Harbor zu sein, obwohl sie routinemäßig persönliche Daten auf „geheimen Servern“ in den USA speichern.

Die Amerikaner lässt das alles bislang ziemlich kalt. Schließlich reicht der kurze Arm des deutschen Gesetzes kaum bis nach Kalifornien, wo die meisten der großen Sozialen Netzwerke ihren Sitz haben. Bevor ein deutscher Kriminalbeamter bei Google in Mountain View auftaucht, fließt noch viel Wasser den Sacramento-Fluss hinunter; und Anordnungen deutscher Gerichte wirft man bei Facebook vermutlich ungelesen in den Papierkorb.

Doch diese Borniertheit könnte sich rächen. Das Beispiel StreetView zeigt, dass sich in Europa eine echte Gegenbewegung regt: Verbraucher sind beunruhigt, und diese Unruhe kann sich über kurz oder lang in Konsumverzicht oder dem Boykott amerikanischer Unternehmen äußern. Schon melden sich täglich Tausende bei Google, die Fotos ihrer Häuser löschen lassen wollen. Deutschland dürfte am Ende ein ausgesprochen lückenhaftes Bild bei dem neuen Dienst der Amerikaner hinterlassen.

Die Regierungen beiderseits des Atlantik sind gefordert, dem zahnlosen Safe-Harbor-Abkommen endlich mehr Biss zu geben. Und insbesondere US-Unternehmen sollten ganz genau überlegen, wie sie in Zukunft mit den persönlichen Daten ihren Kunden in Europa umgehen – schon in ihrem eigenen Interesse.



KuppingerCole Select

Register now for KuppingerCole Select and get your free 30-day access to a great selection of KuppingerCole research materials and to live trainings.

Stay Connected

KuppingerCole on social media

Subscribe to our Podcasts

KuppingerCole Podcasts - listen anywhere


How can we help you

Send an inquiry

Call Us +49 211 2370770

Mo – Fr 8:00 – 17:00