Startseite

GDD-Arbeitskreis "Datenschutz International": Prüfung einer Safe Harbor-Zertifizierung

 
Die im Zuge der NSA-Affäre erneut aufkommenden Diskussionen um die Verlässlichkeit und Wirksamkeit einer Safe Harbor-Zertifizierung von US-Unternehmen führen bei den hiesigen Verantwortlichen für den Datenschutz zu einer Rechtsunsicherheit, inwieweit durch den „sicheren Hafen“ noch ein angemessenes Datenschutzniveau hergestellt werden kann.


In Antwort auf diesen Zustand hat der GDD-Arbeitskreis "Datenschutz International" einen Fragebogen entwickelt, den europäische Datenexporteure dazu verwenden können, die Vorgaben von Safe Harbor beim US-amerikanischen Datenimporteur zu überprüfen.

Safe Harbor, der "sichere Hafen" für Datenflüsse von europäischen verantwortlichen Stellen an entsprechend zertifizierte US-Unternehmen, wurde bereits im Jahre 2000 ins Leben gerufen, um möglichen Handelshemmnissen, die aus der Einstufung der Vereinigten Staaten als Drittland ohne angemessenes Datenschutzniveau resultieren können, entgegenzuwirken. US-Unternehmen mit Sitz in den Vereinigten Staaten und unter der Aufsicht der Federal Trade Commission oder des Department of Transportation ist es seit jeher im Rahmen einer Selbsterklärung möglich, dem Rechtsrahmen von Safe Harbor beizutreten. Dieser Beitritt ist jedoch an Anforderungen gebunden, die in den Safe Harbor-Principles sowie in den Frequently Asked Questions (FAQs) zu Safe Harbor verankert sind.

Die Möglichkeit, dem "sicheren Hafen" über eine reine Selbsterklärung beizutreten sowie festgestellte Versäumnisse von zertifizierten Unternehmen, haben den Düsseldorfer Kreis als Zusammenschluss der obersten Aufsichtsbehörden für den nicht-öffentlichen Bereich im Jahre 2010 zu einem Beschluss verleitet, der hiesigen Datenexporteuren eine Prüfpflicht bezüglich der Vorgaben von Safe Harbor auferlegt. Diese Prüfpflicht solle sich nach dem Willen des Düsseldorfer Kreises zumindest auf die Gültigkeit der Zertifizierung sowie dem Nachkommen der in den Principles geforderten Informationspflichten gegenüber dem von der Datenverarbeitung Betroffenen beziehen.

Der GDD-Arbeitskreis "Datenschutz International" hat die Forderung des Düsseldorfer Kreises sowie die in Anbetracht der NS-Affäre verstärkte Kritik am Safe Harbor-Abkommen zum Anlass genommen, einen Fragebogen in englischer Sprache zu erarbeiten, der eine dokumentierte Überprüfung der wesentlichen Pflichten nach Safe Habor ermöglicht. Dieser Fragebogen berücksichtigt dabei nicht nur die Mindestanforderungen des Düsseldorfer Kreises, sondern auch die weiteren Vorgaben aus den Principles sowie den FAQs.

Der Fragebogen kann hier heruntergeladen werden.