Anfang letzten Jahres hatte ich schon hier darüber berichtet, dass ein Unternehmen in Deutschland, welches mit Personaldaten arbeitet, den Ansatz vertreten hat, Safe Harbor wäre eine Firma, die gewährleistet, dass Daten in den USA sicherer wären als hierzulande. Begründet wurde dies seinerzeit damit, dass die „Datenschutzgesetze in Amerika viel strenger seien als in Deutschland“. Diese Auffassung kann man nur mit ungläubigem Staunen reflektieren und der Person, die solche Ansichten kundtut nur die Frage stellen: Könnten Sie das bitte wiederholen? Ich habe offensichtlich einen Hörfehler.
Leider ist diese Auffassung nicht so weit von der alltäglichen Praxis entfernt. In vielen Unternehmensbereichen, bei denen es um internationalen Datenverkehr geht, wird auf die Position abgestellt, Safe Harbor stelle eine rechtliche Erlaubnis dar, aufgrund derer ein Datentransfer in die USA erlaubt ist. Formaljuristisch richtig. Aber …
Safe Harbor setzt voraus, dass deren Anwender wissen, was sie tun. Und das auch in den USA. Wenn es sich hierzulande schon mehr als schwierig gestaltet, Datenschutzgesetze zu berücksichtigen, wie soll dann ein Abkommen wie Safe Harbor in einem Land, in dem es keine Datenschutzgesetze gibt, eingehalten werden? Es könnte der Verdacht naheliegen, dass Safe Harbor nur ein Mittel zum Zweck ist und damit aus Sicth des Datenschutzes tatsächlich eine leere Hülse. Dem Zweck eines Datentransfers in die USA, ohne dafür belangt werden zu können, das Abkommen ist schließlich unterzeichnet. Was dem zugrunde liegt, spielt dabei offensichtlich keine Rolle. Wer soll denn auch schon kontrollieren, wie es mit der Umsetzung des Abkommens auf der anderen Seite des großen Teichs aussieht.
Hier scheint es nun Erkenntnisse zu geben, die es zu diskutieren gilt. Ein Gutachten des US-Beratungsunternehmens Galexia aus dem Jahre 2008 mit dem Titel „„The US Safe Harbor – Fact or Fiction?“ habe laut Thilo Weichert, dem Landesdatenschutzbeauftragten in Schleswig-Holstein, „gewaltige Vollzugsdefizite“ aufgezeigt. So z.B., dass 206 Unternehmen zwar behaupteten, Mitglied von Safe Harbor zu sein, es aber in Wirklichkeit gar nicht waren. Ein Schelm, wer Böses dabei denkt.
Oder geht es bei Safe Harbor doch nur ums Geschäft? Wir vertrauen in unserer Gesellschaft darauf, dass diejeinigen, die sich nicht an die Regeln halten, früher oder später dafür belangt werden. Und es funktioniert. Die Bahn und Lidl haben Bußgelder gezahlt. Aber wie verhält sich das in den USA, wo es keine Bestimmungen dieser Art gibt? Auch dazu sagt das Galexia – Gutachten etwas aus: Ein einziges Unternehmen in den USA, das behauptet hat, Mitglied von Safe Harbor zu sein, wurde von einem amerikanischen Gericht wegen Falschangaben verurteilt, allerdings ohne Sanktionen…
Mögen sich diejenigen darüber Gedanken machen, die Safe Harbor weiterhin als Grundlage für einen Datentransfer in die USA betrachten.
Aber ehrlich, das war doch alles bereits klar, als man die Vereinbarung getroffen hat. Das SH Prinzip war ein maximales Entgegenkommen (Kniefall) der EU gegenüber den USA. Der Datenschutz in den USA wird vielleicht einmal auch für Private gelten, dafür wetten würde ich aber nicht. Kurzum, wer Datenbearbeitungen outsourct, tut gut daran zu verifizieren, wie es sich mit seiner Haftung im Zusammenhang mit Personendaten verhält.