Das Safe-Harbor Modell : Datenschutzbestimmungen in der Relation EU-USA

Abstract

Im Zeitalter des Internet, vor allem seit dem Aufkommen der Web 2.0 Technologien, werden personenbezogene Daten sehr leichtfertig preisgegeben und rasant an Dritte übertragen. Dadurch können Dienstbetreiber relativ einfach Personendaten sammeln und austauschen, wodurch über Personen mehr Informationen akquiriert werden können, als von diesen eigentlich gewollt. Um Konsumenten zu schützen, haben das Europäische Parlament und der Rat bereits 1995 die Richtlinie 95/46/EG erlassen, welche unter anderem den Transfer personenbezogener Daten in Drittstaaten verbietet, wenn diese kein angemessenes Schutzniveau bieten. Die Datenschutzbestimmungen der Vereinigten Staaten von Amerika werden von der Europäischen Kommission als unsicher eingestuft, daher dürften grundsätzlich keine personenbezogenen Daten aus der EU in die USA übermittelt werden. Um eine folgenschwere Datenblockade zu verhindern, wurde im Jahr 2000 mit der Kommissionsentscheidung 2000/520/EG das Safe-Harbor Modell kreiert. Safe-Harbor gestattet den Transfer personenbezogener Daten an Unternehmen in den USA, die sich den Safe-Harbor Grundsätzen unterworfen und sich selbst zertifiziert haben. Das Konzept basiert großteils auf Selbstkontrolle und sieht keine wirkungsvollen Überprüfungsmechanismen vor. Das Modell ist nun mehr als 10 Jahre in Kraft und es muss eine erschütternde Bilanz gezogen werden: Der Großteil der Unternehmen hat sich selbst als Safe-Harbor-Teilnehmer zertifiziert, ohne jedoch die vorgeschriebenen Richtlinien einzuhalten. Da Datenschutzsünder de facto nicht mit Konsequenzen zu rechnen haben, stellt das Safe-Harbor Modell einen Freibrief für willkürlichen Umgang mit importierten personenbezogenen Daten dar. Die Ursache für diese Entwicklung liegt in der äußerst unzureichenden Realisierung des Durchsetzungsgrundsatzes, der jedoch in der Kommissionsentscheidung festgeschrieben ist. Aus diesem Grund ist eine Änderung der aktuellen Bestimmungen unumgänglich. Diese Arbeit befasst sich mit der Analyse der Safe-Harbor-Problematik und der Suche nach Verbesserungsansätzen. Mittels ausführlicher Literaturrecherche und Rechtsvergleich wird die aktuelle Rechtslage der supranationalen Gemeinschaft EU und der Vereinigten Staaten von Amerika im Bereich Datenschutz beleuchtet sowie die aktuelle Safe-Harbor-Lösung analysiert. Weiters werden die Anforderungen an eine funktionierende Selbstregulierung erörtert. Schließlich werden bestehende Lösungsansätze und deren Schwächen begutachtet und daraus Verbesserungsmöglichkeiten erarbeitet. Dabei wird vor allem aufgezeigt, dass andere Prüfmechanismen als die bloße Selbstkontrolle notwendig sind, um eine nachhaltige Änderung erwirken zu können.<br />

Browsing the web is a matter course in our society and interactive webservices such as social networks are developing rapidly.<br />These technologies provide simple and fast collection and exchange of personal data enabling the gathering of more information about people than originally intended to be disclosed by the users. In 1995 the European Parliament and the Council enacted the directive 95/46/EC to protect users rights in respect of personal data. This directive includes an article prohibiting transfers of personal data in countries which do not provide for adequate data protection laws.<br />According to the European Commission the legislation of the US does not ensure appropriate data privacy, so transfers of personal data into the USA would be forbidden. To prevent the economic damage of such a ban the US-EU-Safe-Harbor framework was implemented in 2000. This framework allows US companies to import personal data of european citizens under certain conditions. The importing company must fulfil the Safe-Harbor principles and perform the official self-certification process at the DOC. The frameworks enforcement is based on self-monitoring and does not include effective test-procedures. This legal framework is active for ten years by now, but the enforcement is very unsatisfactory. Most companies have completed the self-certification process without observing the mandatory policies.<br />Personal data can be abused easily, because of lack of meaningful penalties. This ominous development is a result of the inefficient implementation of the enforcement principle. There is a need for a widespread improvement of the Safe-Habor framework. This thesis is analysing the issue of Safe-Harbor and developing approaches for improvement. Firstly, the basics of privacy laws of the US are compared to those of the EU. After analysing the principles of the Safe-Habor framework the requirements for effective self-regulation are discussed. Finally, the faults and existing approaches are surveyed and new proposals are presented. One basic finding is that new control mechanisms and operative sanctions are needed to guarantee reasonable privacy protection.<br />