Prüfbericht zu Safe Harbor US-Konzerne täuschen EU-Bürger beim Datenschutz

Amerikanische Internetfirmen versprechen ihren europäischen Kunden besondere Datenschutzregeln, so stark wie in der EU sollen die Rechte der Kunden sein. Doch die Realität dieses Safe-Harbor-Abkommens sieht anders aus: Ein Prüfbericht offenbart gravierende Verstöße.

Eigentlich soll das Safe-Harbor-Verfahren den Datenschutz für EU-Bürger bei US-Konzernen sichern. So war das Abkommen zwischen der Europäischen Union und den USA einmal gedacht, denn die amerikanischen Gesetze zum Datenschutz sind schwächer. Nur, wenn US-Firmen mitmachen und sich freiwillig den Regeln des Safe-Harbor-Abkommens unterwerfen, dürfen sie personenbezogene Daten aus der Europäischen Union in die USA kopieren.

Eine neue unabhängige Überprüfung der Safe-Harbor-Praxis zeigt aber nun: Hunderte von US-Firmen versprechen ihren Kunden öffentlich, den Safe-Harbor-Richtlinien zu folgen, halten sich aber in ihren Nutzungsbedingungen nicht daran. Das ist einer der Mängel, die eine Untersuchung der australischen Datenschutz-Beratungsfirma Galexia im September 2013 bei der Umsetzung der Richtlinien in den Vereinigten Staaten festgestellt hat. Bei einer Anhörung im EU-Parlament  berichtete der Galexia-Chef Christopher Connolly:

  • Bei knapp 3000 untersuchten US-Firmen, die sich dem Safe-Harbor-Abkommen unterworfen haben, fanden die Forscher 427 Verstöße gegen dieses Abkommen. Bei der vorigen Untersuchung im Jahr 2008 hatte Galexia 200 Verstöße gefunden.
  • 30 Prozent der untersuchten Firmen teilen ihren Kunden überhaupt nicht mit, wie das Verfahren bei etwaigen Verstößen abläuft, wohin man sich wenden muss und wie entschieden wird.
  • Mehr als 460 Firmen verweisen EU-Kunden bei Beschwerden in ihren Nutzungsbedingungen an Organisationen, die Geld für das Einreichen von Beschwerden verlangen.

Dass die Safe-Harbor-Regeln US-Unternehmen nicht sonderlich zu einem datenschutzfreundlichen Verhalten gegenüber EU-Bürgern motivieren, ist seit Jahren klar. 2010 urteilte Rainer Erd, Professor für Informationsrecht an der Hochschule Darmstadt, in einem Aufsatz im Fachblatt "Kommunikation und Recht":

"Liest man die Regeln des Safe Harbor-Abkommens, dann sind datenschutzrechtliche Bedenken gegen den Transfer personenbezogener Daten in die USA nicht angebracht. Dieses positive Bild ändert sich aber rasch, wenn man die Realität des Abkommens betrachtet."

Die Bundesregierung hat es damals abgelehnt, auf EU-Ebene mit den USA neu über die Safe-Harbor-Regeln zu verhandeln.

lis