Aktuell berichtet SPON in dem Beitrag  Safe Harbor: US-Konzerne täuschen EU-Bürger beim Datenschutz über die Ergebnisse einer Untersuchung zur Realität des Safe-Harbor-Abkommens. Die Ergebnisse offenbaren – wenig überraschend – eine gravierende Diskrepanz zwischen Wunsch und Wirklichkeit.

Seit dem 26. Juli 2000 besteht eine Vereinbarung zwischen der EU und dem Handelsministerium (Department of Commerce) der USA zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor). Diese Vereinbarung soll ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die in der Safe Harbor-Vereinbarung vorgegebenen Grundsätze verpflichten. Durch die Verpflichtung und eine Meldung an die Federal Trade Commission (FTC) können sich die Unternehmen selbst zertifizieren. So zertifizierte US-Unternehmen schaffen damit grundsätzlich die Voraussetzungen, dass eine Übermittlung personenbezogener Datenaus Europa an sie unter denselben Bedingungen möglich ist, wie Übermittlungen innerhalb des europäischen Wirtschaftsraumes (EU/EWR). Das US-Handelsministerium veröffentlicht eine Safe Harbor-Liste aller zertifizierten Unternehmen im Internet.
So die Theorie –  die Praxis sieht nach einer Untersuchung der Beratungsfirma Galexia im Auftrag des EU-Parlaments anders aus:
Hunderte von US-Firmen versprechen ihren Kunden öffentlich, den Safe-Harbor-Richtlinien zu folgen, halten sich aber in ihren Nutzungsbedingungen nicht daran.
Bei einer Anhörung im EU-Parlament berichtete der Galexia-Chef Christopher Connolly:

  •  Bei knapp 3000 untersuchten US-Firmen, die sich dem Safe-Harbor-Abkommen unterworfen haben, fanden die Forscher 427 Verstöße gegen dieses Abkommen. Bei der vorigen Untersuchung im Jahr 2008 hatte Galexia 200 Verstöße gefunden.
  • 30 Prozent der untersuchten Firmen teilen ihren Kunden überhaupt nicht mit, wie das Verfahren bei etwaigen Verstößen abläuft, wohin man sich wenden muss und wie entschieden wird.
  • Mehr als 460 Firmen verweisen EU-Kunden bei Beschwerden in ihren Nutzungsbedingungen an Organisationen, die Geld für das Einreichen von Beschwerden verlangen.
Quelle: SPON
Wer hätte das gedacht? Tatsächlich war der laxe Datenschutz der US-Unternehmen schon länger bekannt. Deswegen hat der Düsseldorfer Kreis bereits 2010 festgehalten:
Solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen durch die Kontrollbehörden in Europa und den USA nicht gewährleistet ist, trifft auch die Unternehmen in Deutschland eine Verpflichtung, gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe Harbor-Liste geführtes US-Unternehmen übermitteln.
Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen in diesem Zusammenhang darauf hin, dass sich Daten exportierende Unternehmen bei Übermittlungen an Stellen in die USA nicht  allein auf die Behauptung einer Safe Habor-Zertifizierung des Datenimporteurs verlassen können. Vielmehr muss sich das Daten exportierende Unternehmen nachweisen lassen, dass die Safe Harbor-Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden. Mindestens muss das exportierende Unternehmen klären, ob die Safe Habor-Zertifizierung des Importeurs noch gültig ist. Außerdem muss sich das Daten  exportierende Unternehmen nachweisen lassen, wie das importierende Unternehmen seinen Informationspflichten nach Safe Harbor gegenüber den von der Datenverarbeitung Betroffenen nachkommt.
Also, alles nicht wirklich neu. Trotzdem verstärkt sich der Eindruck, dass jedenfalls in Deutschland Rechtslage und Wirklichkeit beim Datenschutz weiter auseinanderdriften. Für Webseiten-Betreiber stellt sich wieder die Frage, welchen Sinn es macht, die kaum übersichtlichen Datenschutzregeln nach § 13 TMG und Bundesdatenschutzgesetz zu befolgen. Die Fassung einer ordnungsgemäßen Datenschutzerklärung ist ohne anwaltliche Hilfe kaum mehr möglich (seit neuestem drohen auch noch kostenpflichtige Abmahnungen). Der Aufbau und die Pflege gesetzeskonfomer Datenbanken sind aufwendig und teuer. Wer die Gesetzeslage wirklich befolgen will, beraubt sich effektiver Werbemöglichkeiten, die wiederum von Konkurrenten aus anderen Ländern gezielt genutzt werden. Und am Ende bleibt dann die Erkenntnis, dass der eigene Beitrag zum Datenschutz völlig nutzlos ist.
Kommentar: Ein Dilemma, aus dem als einziger Ausweg der (kalkulierte) Rechtsbruch erscheint. Im Wettbewerb zwischen Unternehmen wird der Gesetzesverstoss oft gewollt in Kauf genommen. So überschreitet Werbung oft die Grenzen des gesetzlich Zulässigen, um hervorzustechen. Von diesen Rechtsbrüchen sind in aller Regel aber die anderen Wettbewerber, sprich andere Unternehmen betroffen. Der Gesetzgeber hat auch durch das Wettbewerbsrecht ein geeignetes Instrumentarium geschaffen, damit sich die Unternehmen untereinander zur Einhaltung der Regeln verpflichten können. Der Datenschutz dient hingegen dem Schutz der Privatsphäre des Einzelnen, ein Rechtsgut, welches der Staat schützen soll und muss. Es kann daher nicht gewollt sein, wenn der Gesetzgeber die Webseiten-Betreiber durch unzureichende Rechtswirklichkeit dazu treibt, Bürgerrechte zu verletzen. Eine Korrektur des Datenschutzrechts ist daher dringend geboten.