Safe Harbor 2.0

Datenschützer sprechen von “Bullshitbingo”, “Witz”, “Mogelpackung” und “Augenwischerei”, Edward Snowden sagt, er “hätte noch nie eine politische Übereinkunft gesehen, die so stark kritisiert wurde.“ Die Rede ist von Safe Harbor 2.0, oder “EU-US Privacy Shield”, womit eine Lösung für das vom EuGH Anfang Oktober letzten Jahres gekippte Safe Harbor Abkommen geschaffen werden soll. Die Wirtschaft drängt. Und was steckt dahinter?

Weiterlesen

Jurassic Park im Kühlschrank

Jeder, der einmal in einer WG oder in einem Studentenwohnheim gehaust hat, kennt das Problem herrenloser Lebensmittel. Aus meiner Zeit im Studentenwohnheim erinnere ich mich an eine plötzlich und unerwartet auftauchende, ungeöffnete Tüte mit Rosinen, in der es flatterte. Erstaunlich, was die Evolution mit so einer Tüte macht, oder besser gesagt, mit dem Inhalt. Es kamen seinerzeit durchaus Gedanken an Jurassic Park auf, in dem es heißt: Die Natur findet einen Weg…, oder „mother nature has a plan.“

Weiterlesen

Google hat keine Papierkörbe

Im Schweizer Tagesanzeiger findet sich jüngst unter dem Titel “Privatsphäre wird zum Luxusgut” ein Interview mit dem aus Altersgründen scheidendem eidgenössischen Datenschutzbeauftragten Hanspeter Thür. Er verweist in diesem Interview u.a. darauf, dass die Chefs der großen digitalen Plattformen ihre Privatsphäre rigiros schützen. Was sich auch daran festmachen ließe, dass die Namen der Kinder des Google – Gründers Larry Page nicht bekannt seien.
In diesem Zusammenhang fällt mir ein, dass es in der Hamburger Niederlassung von Google keine Papierkörbe gibt und jedes anfallende Papier per Arbeitsanweisung in den Schredder zu befördern ist, und sei es nur Kaugummipapier. Die Einhaltung dieser Anweisung wird den Mitarbeitern recht einfach gemacht. Wenn es keine Papierkörbe gibt, wandert eben alles in den Schredder. Zufall?

Weiterlesen

Europäischer Gerichtshof kippt Safe Harbor

Die bundesdeutschen Aufsichtsbehörden haben schon kurz nach Edward Snowdens Veröffentlichungen neue Datentransfers in die USA auf Basis des Safe Harbor Abkommens untersagt. Unberührt davon waren bislang die bis dahin bestehenden Safe Harbor Verbindungen. Damit ist nun auch Schluss. Der EuGH hat die Rechtsgrundlage für Safe Harbor für ungültig erklärt.

Weiterlesen

Der 52. Bundesstaat

Eines meiner Lieblingszitate ist von Charles Bukowski.  „How the hell could a person enjoy being awakened at 6:30 am by an alarm clock, leap out of bed, dress, force-feed, shit, piss, brush teeth and hair, and fight traffic to get to a place where essentially you made lots of money for somebody else and were asked to be grateful for the opportunity to do so.“
Es ist eine Systemkritik. Nichts anderes. Nicht jeder hat die Möglichkeit zu Hause seine Brötchen zu verdienen, auf eigene Rechnung zu arbeiten und das zu tun, was man möchte. Den meisten Menschen ist es deshalb verwehrt in einem Haus am Strand zu leben und den Tag mit einem Aufwachen ohne Wecker zu beginnen. Aber das ist es nicht, was Bukowski sagen möchte. Es geht darum, sich darüber im Klaren zu sein, inwieweit man von anderen beherrscht wird, ferngesteuert ist und Dinge tun muss, die man eigentlich gar nicht will. Und es geht auch darum, Dinge zu verändern, die nicht richtig sind, wenn man die Möglichkeit dazu hat.

Weiterlesen

Eine leere Hülse?

Anfang letzten Jahres hatte ich schon hier darüber berichtet, dass ein Unternehmen in Deutschland, welches mit Personaldaten arbeitet, den Ansatz vertreten hat, Safe Harbor wäre eine Firma, die gewährleistet, dass Daten in den USA sicherer wären als hierzulande. Begründet wurde dies seinerzeit damit, dass die „Datenschutzgesetze in Amerika viel strenger seien als in Deutschland“. Diese Auffassung kann man nur mit ungläubigem Staunen reflektieren und der Person, die solche Ansichten kundtut nur die Frage stellen: Könnten Sie das bitte wiederholen? Ich habe offensichtlich einen Hörfehler.

Weiterlesen

Jetzt geht’s los

Erstaunlicherweise hat es doch ziemlich lange gedauert, bis die Datenschützer sich ernsthaft mit den Social Networks auseinandersetzen. Während in den USA die Datenschutzthematik langsam hochkocht, scheinen sich nun die Europäer ernsthaft Gedanken zu machen, wie man mit Facebook und Co. umgehen soll. Jetzt geht’s los?

Weiterlesen

Eine Firma namens Safe Harbor

Der Alltag eines Datenschützers beinhaltet zunehmend Bewertungen von Personalentwicklungsmodellen, bei denen Unternehmen technische Möglichkeiten zur Potentialanalyse von Mitarbeitern nutzen. Aus datenschutzrechtlicher Sicht ist dagegen solange nichts einzuwenden, als dass ein betroffener Mitarbeiter um die Rahmenbedingungen eines solchen Programms weiß, darin eingewilligt hat und vor allem, dass die Anbieter solcher Programme wissen, was sie tun. Kürzlich erreichte mich die Antwort einer Personalberatung auf die Frage, wie es datenschutzrechtlich um ein Programm bestellt ist, das eine Persönlichkeitsbewertung auf einem Server in den USA vornimmt.

Der befragte Mitarbeiter hat für diese Bewertung nur einen Fragebogen auszufüllen und muss, um den Fragebogen zu bearbeiten, sein Einverständnis zu folgender Erklärung abgeben: „Ich versichere hiermit ausdrücklich unter Bezugnahme auf die einschlägigen datenschutzrechtlichen Bestimmungen (Bundesdatenschutzgesetz), dass die in den Fragebogen eingegebenen Daten ausschließlich mich persönlich betreffen und es sich nicht um Daten Dritter handelt. Ich bin ebenso ausdrücklich damit einverstanden, dass sowohl die personenbezogenen Daten als auch die im Fragebogen erteilten Antworten bei dem Lizenzgeber des Produktes [Produktname] namentlich: [Name der Fa., Adresse] USA, zentral gespeichert werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.“

Die oben erwähnte Antwort der Personalberatung auf die Frage, wie die Daten der betroffenen Mitarbeiter in den USA verarbeitet werden, verweist auf die Erklärungen des deutschen Lizenznehmers und lautet wie folgt: „Die folgende Information zum Datenschutz bei [Anbieter] haben wir von [Name des Lizenznehmers in Deutschland] die Datenschutzbestimmungen von Safe Harbor, der Firma, die die Sicherheit der Daten gewährleistet, sende ich Ihnen im Anhang. In Amerika sind die Datenschutzbestimmungen viel strenger als in Deutschland. Deshalb können Sie Ihren Probanden versichern, dass keine drei Personen Einblick in die Analysen haben oder die Daten für andere Fälle genutzt werden, als für die Auswertung der Analysen. Die Geschlechterangabe dient rein zur Anrede und die Emailadresse wird nur als Sicherheit abgefragt, falls jemand die Analysen zwischendurch unterbricht. […] Der Datenserver selbst befindet sich in [..], Amerika. Zugriff auf die Daten haben nur [Name des deutschen Lizenzträgers] und [Name des lizenzgebenden US-Unternehmens]. Die Speicherdauer kann ich Ihnen leider nicht genau sagen, aber benachrichtigt wird niemand, wenn die Daten gelöscht werden.

Aha. Die USA sind also aus der Sichtweise einer Personalberatung ein Standort, der datenschutzrechtlich sicherer ist als die BRD, Safe Harbor ist eine Firma, das amerikanische Unternehmen, als Lizenzgeber und speichernde Stelle der Daten, sowie das deutsche Lizenzträgerunternehmen sind nicht mehr als drei Personen, und Speicherfristen sind offensichtlich nicht am Interesse des betroffenen Mitarbeiters orientiert, sondern daran, dass die „Probanden“ jederzeit wieder erkennbar sind, egal für welches Unternehmen sie gerade arbeiten. Sinnigerweise findet sich auf der Webseite des deutschen Lizenznehmers unter dem Titel „Vertrauensvolle Zusammenarbeit“ eine Referenzliste, die eine Vielzahl von Unternehmen ausweist. Hat sicherlich den Vorteil, dass man sich im Rahmen einer Bewerbung nähere Angaben zur eigenen Person sparen kann, weil es ja die „Firma Safe Harbor“ und den amerikanischen Lizenzgeber gibt, die keine Speicherfristen haben.

Ach ja, ich sollte nicht vergessen zu erwähnen, dass der deutsche Lizenznehmer den Fragebogen und die Einverständniserklärung über ein Webtool betreibt, bei dem im Hintergrund Google Analytics installiert ist. Der Lizenznehmer hat keine Datenschutzerklärung auf seiner Webseite, in der auf Google Analytics verwiesen wird und ohne Google Analytics kann man der Einverständniserklärung nicht zustimmen. Wie war das mit den drei Personen?

Weiterlesen