IT/IP, Outsourcing

Neue Anforderungen für die Datenübermittlung in die USA - geänderte Aufsichtspraxis zum Safe Harbor-AbkommenDer Düsseldorfer ...

IT/IP, Outsourcing

Neue Anforderungen für die Datenübermittlung in die USA - geänderte Aufsichtspraxis zum Safe Harbor-Abkommen
Der Düsseldorfer Kreis, in dem die Datenschutz-Aufsichtsbehörden der Länder für den nicht-öffentliche Bereich ihre Aufsichtspraxis gemeinsam abstimmen, hat am 29. April 2010 einen für die Praxis weitreichenden Beschluss hinsichtlich der Datenübermittlung in die USA im Rahmen des Safe Harbor-Abkommens überlassen.

Nach dem verschiedene Studien wiederholt darauf hingewiesen haben, dass das sogenannte Safe Harbor-Abkommen, wonach personenbezogene Daten an Stellen in den USA übermittelt werden dürfen, die diesem Abkommen mit dem Ziel beigetreten sind, ein angemessenes Datenschutzniveau entsprechend dem europäischen Standard zu gewährleisten, nicht mehr als eine bloße Papiergarantie war, sind die Aufsichtsbehörden nun eingeschritten. Insbesondere das Gutachten der US-Unternehmensberatung Galexia (Safe Harbor - Fact or Fiction) hat enorme Vollzugsdefizite aufgezeigt. So wurde unter anderem festgestellt, dass über 200 Unternehmen lediglich behaupteten, Mitglied von Safe Harbor zu sein, dies in Wirklichkeit aber nicht waren. Gerade einmal 348 Unternehmen erfüllten die Mindestvoraussetzungen des Abkommens. Konsequenzen bei Missständen konnten so gut wie gar nicht festgestellt werden. Seit Bestehen des Abkommens wurde lediglich ein einziges Unternehmen wegen Falschangaben von einem kalifornischen Gericht verurteilt.

Der Beschluss

Nach dem Beschluss des Düsseldorfer Kreises müssen deutsche Unternehmen, die personenbezogene Daten an US-Unternehmen übermitteln, nunmehr aktiv überprüfen, ob die datenschutzrechtlichen Mindeststandards seitens des US-Unternehmens eingehalten werden. Unter einer aktiven Prüfung versteht der Düsseldorfer Kreis nach seinem Beschluss
- die Vorlage eines schriftlichen Nachweises über den Beitritt zum Abkommen, der nicht älter als 7 Jahre sein darf und die wesentlichen Verpflichtungen des Abkommens enthalten muss. Der Erhalt dieser Bescheinigung ist sorgfältig zu dokumentieren, da er den Aufsichtsbehörden auf Anforderung vorzulegen ist.
- Daneben muss sich der Datenexporteur aus Deutschland von dem US-Unternehmen nachweisen lassen, dass dieses seine Informationspflichten gegenüber den Betroffenen wahrnimmt, welche im Safe Harbor-Abkommen selbst festgelegt sind. Danach muss das Unternehmen die Betroffenen darüber informieren, zu welchem Zweck Daten erhoben werden, wie diese bei eventuellen Nachfragen Kontakt aufnehmen können, an welche Kategorien von Dritten die Daten weitergegeben werden und welche Mittel zur Verfügung gestellt werden, damit diese Verwendung eingeschränkt werden kann. Auch dieser Nachweis ist den Aufsichtsbehörden auf Verlangen vorzulegen.

Daneben schlägt der Düsseldorfer Kreis vor, einen Verstoß gegen Safe Harbor der zuständigen Aufsichtsbehörde direkt anzuzeigen. Eine Verpflichtung hierzu ist dem Beschluss jedoch nicht zu entnehmen.

Folgen

Durch den Beschluss der Aufsichtsbehörden werden die Empfehlungen zu faktischen Voraussetzungen für den Datentransfer in die USA. Bei Verstößen gegen diese Voraussetzungen können Bußgelder bis Euro 300.000,00 drohen. Darüber hinausgehende Gewinne können abgeschöpft und Schadensersatzklagen erhoben werden. Dadurch besteht ein relativ hohes Haftungsrisiko bei Datentransfers in die USA, die diesen Voraussetzungen nicht entsprechen. Auch bestehende Datenübermittlungen sollten daher überprüft werden, ob sie den neuen Anforderungen entsprechen.

28.11.2012 14:26 Alter: 5 yrs
Kategorie: IT / IP, Outsourcing