Kritik am Datenschutzabkommen zwischen den USA und der EU
Verbraucherverbände warnen, dass die Einigung über das Prinzip des "Sicheren Hafens" die Rechte der Bürger unterhöhlt
Kritisiert wird vom Transatlantic Consumer Dialogue (TACD), einer amerikanisch-europäischen Vereinigung von Verbraucherverbänden, das Abkommen zum Schutz persönlicher Daten, das zwischen der EU und den USA ausgehandelt wurde.
Aufgrund der europäischen Datenschutzrichtlinie müssen persönliche Daten, die von europäischen Bürgern erhoben und in die USA exportiert werden, im Ausland durch vergleichbare Regelungen geschützt werden. Gewährleistet sein muss etwa die explizite Zustimmung des Betroffenen, das Recht auf Einsicht in die gesammelten Daten, deren Korrektur und Löschung, ein Beschwerdemechanismus sowie Informationen über die Verwendung der Daten. Da die US-Regierung den Datenschutz der Selbstregulierung der Wirtschaft unterstellt sehen wollte, wurde anstatt einer gesetzlichen Regelung das Prinzip des "Sicheren Hafens" eingeführt. Unternehmen können sich freiwillig Datenschutzrichtlinien unterwerfen, die den Anforderungen entsprechen sollen, um das Recht zu erhalten, Daten europäischer Bürger in den USA speichern und verarbeiten zu können. Erforderlich ist lediglich eine Meldung beim amerikanischen Handelsministerium, eine Überprüfung ist nicht vorgesehen. Bei Missachtung der selbstgesetzten Datenschutzregeln kann die Federal Trade Commission (FTC) wegen Betrugs einschreiten, allerdings ist sie nicht verpflichtet, etwa den Klagen von einzelnen Personen nachzugehen.
Für die TACD reicht das bislang erzielte Übereinkommen allerdings nicht aus, um einen angemessenen Schutz für die persönlichen Daten der europäischen Bürger zu gewährleisten, der ihnen unter europäischem Recht garantiert wird. Während in der EU der Datenschutz rechtlich geregelt ist und Verletzungen durch staatliche Behörden geahndet werden, ist er in der USA eine Angelegenheit von Verhandlungen, wobei auch Verletzungen des Datenschutzes weitgehend in den Händen der Unternehmen liegen. Die Verbraucherschutzorganisationen wenden ein, dass aufgrund der bislang vorliegenden Erfahrungen nur wenig Vertrauen aufkommen kann, dass der Datenschutz durch Sebstregulierung gewährleistet werden kann. Von den durch die Unternehmen finanziell getragenen Organisationen zur Überwachung des Datenschutzes, die wie TRUSTe oder BBBOnline eine Art Datenschutzsiegel vergeben, ist tatsächlich kaum zu erwarten, dass sie gegen ihre Mitglieder vorgehen und Verfehlungen ahnden. Bislang ist das jedenfalls nicht geschehen. Die TACD meint jedoch, dass ernstzunehmende Entschädigungen für Einzelpersonen und Sanktionen für Untrenehmen notwendig seien, damit die Datenschutzregeln nicht nur auf dem Papier bzw. online stehen, sondern auch wirklich eingehalten werden. Überdies würde niemand gegen eine Verletzung der selbstverordneten Datenschutzregeln den mühsamen, kostenaufwendigen und langen Weg einer Beschwerde einschlagen, wenn es keinerlei Strafe oder Wiedergutmachung unter dem Prinzip des Sicheren Hafens gebe.
Die TACD fordert unter anderem, dass die Umsetzung der selbstauferlegten Datenschutzregeln von einem unabhängigen Dritten überprüft und die Ergebnisse der Öffentlichkeit bekannt gegeben werden sollen. Bevor überhaupt ein Unternehmen die Bewilligung als Sicherer Hafen erhalte, müsse ebenfalls von einer unabhängigen Instanz die Übereinstimmung der selbstgesetzten Datenschutzregeln mit den geforderten Prinzipien überprüft werden. Prinzipiell müsse der Kunde auf die Datenschutzregeln aufmerksam gemacht werden, bevor Daten gesammelt werden. Bislang lautet die Formulierung nur, dass dies so schnell, als es möglich ist, geschehen müsse. Vorgesehen ist bislang nur eine Opt-out-Möglichkeit, wenn die Daten zu einem anderen Zweck als dem angegebenen verwendet werden. Aber auch dies kann erst geschehen, wenn bereits Daten gesammelt wurden.
Gerügt wird auch die schwammige Definition "sensibler Daten", deren Sammlung ein Opt-in verlangt, wie Rassen- oder Religionsangehörigkeit, Gesundheitszustand oder politische Überzeugungen. Überdies werde die Einsicht in die gesammelten Daten durch zu viele Einschränkungen zugunsten der Unternehmen erschwert oder verhindert. Einer der größten Lücken ist nach TACD jedoch, dass gesammelten Daten anderen Unternehmen auch dann zur Verfügung gestellt werden können, wenn diese sich nicht den Prinzipien des Sicheren Hafens unterworfen haben. Es reicht, wenn sie an den Geber eine schriftliche Erklärung schicken, dass sie die Daten schützen. Und vorgesehen ist natürlich auch kein Verbot, dass Dienste nicht gewährt werden, wenn die Kunden sich weigern, Informationen über sich zu geben, wenn sie dies etwa als unnötig betrachten.
Auch wenn die jetzt erzielte Einigung besser sei als die vorhergehenden Entwürfe, so fordert die TACD, dass jedes Abkommen zwischen der EU und den USA zeitlich beschränkt sein soll, um es überprüfen und gegebenenfalls verändern zu können. Doch solange nicht einmal alle Mitgliedsstaaten die EU-Richtlinie umgesetzt haben, kann der Druck auch von den USA nicht allzu ernst genommen werden. Die TACD hebt hervor, dass über diese transatlantischen Vereinbarungen hinaus eine internationale Regelung dringend erforderlich wäre, um die Interessen der Kunden in der Online-Ökonomie zu schützen. Neben den Little Brothers, die möglichst ungehindert Daten sammeln und verwerten können wollen, gibt es freilich noch die Big Brothers, die ähnliches machen und gleichfalls das Recht auf Datenschutz einschränken oder gar missachten. Möglicherweise ist die Diskussion über Echelon ein weiteres transatlantisches Konfliktfeld. Schließlich monieren Abgeordnete des Europäischen Parlaments, dass die USA und ihre Partner im Fall von Echelon das Recht auf Privatsphäre der Bürger verletzen.