Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU

Lars Engelhardt

30.01.2008 2Lars Engelhardt

Definition Datenschutz/privacy

Datenschutz:

•Eigenständige Entwicklung vom Schutz der Privatsphäre (EMRK Art. 8)•Richtlinie 95/46/EG •Umsetzung in allen Mitgliedstaaten

Privacy:

•Übersetzung ist nicht eindeutig: Privatsphäre, Intimsphäre, Ungestörtheit•Kein eigenständiges Recht, nur Teil der Rechte zum Schutz der PrivatsphäreSehr allgemeine Rechte

•Datenschutz nur unzureichend

30.01.2008 3Lars Engelhardt

Datenschutz: Ein Vergleich!

Richtlinie 95/46/EG zum Schutz personenbezogener Daten

•Harmonisierung der Gesetze in der EU•Grundsätzliches Verbot der Verarbeitung personenbezogener Daten•Einbeziehung nicht-öffentlicher Datenverarbeiter•Sicherung und Kontrolle durch unabhängige Stellen

Kein spezielles Datenschutzgesetz

•Privacy Act: Schutz vor hoheitlichen Eingriffen•Patriot Act: Datenschutz kann außer Kraft gesetzt werden•Kein geregelter Schutz im nicht-öffentlichen Bereich•Flickenteppich aus nationalen und bundesstaatlichen Gesetzen

30.01.2008 4Lars Engelhardt

Drittstaaten-Regelung in RL 95/46/EG

Artikel 25 Absatz 1 erlaubt die Übermittlung in Drittstaaten,„wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.“

Angemessenheit des Schutzniveaus

•Art der Daten•Zweckbestimmung•Dauer der Verarbeitung•Geltenden Rechtsnormen im Drittland

Der Datenmissbrauch außerhalb der EUsoll verhindert werden.

30.01.2008 5Lars Engelhardt

Safe-Harbor-Lösung (1)

Die USA besitzen kein angemessenes SchutzniveauLösung: Artikel 25 Absatz 5 und 6: „Die Kommission kann feststellen, dass ein Drittland […]ein angemessenes Schutzniveau gewährleistet.“

Safe-Harbor-Lösung

30.01.2008 6Lars Engelhardt

Safe-Harbor-Lösung (2)

• Beschluss der EU-Kommission und des US-Handelsministerium• 26. Juli 2000• Kern des Abkommens: „Grundsätze des sicheren Hafens“ und die 15 „FAQ‘s“• Quasi-Datenschutzerklärung von US-Unternehmen• Bei Unklarheiten ist US-Recht heranzuziehen

Sensitive Data (FAQ 1) Journalistic Exceptions (FAQ 2) Investment Banking and Audits (FAQ 4) Self-Certification (FAQ 6) Human Resources (FAQ 9) Pharmaceutical and Medical Products (FAQ 14)

30.01.2008 7Lars Engelhardt

Safe-Harbor-Lösung (3)

Teilnahme an einem „Gütesiegelprogramm“ oder durch „Selbstzertifizierung“

30.01.2008 8Lars Engelhardt

Safe-Harbor-Lösung (4)

Fazit:• Notwendiges Konstrukt• Lösung auf kleinstem Nenner• Datenschutzniveau wurde verbessert• Selbstzertifizierung leicht missbrauchbar• US-Handelsaufsicht hat zu wenig rechtliche Macht• EU-Behörden erhalten keinen Einblick

30.01.2008 9Lars Engelhardt

Die Praxis (1)

Welches Recht gilt im Internet?

Deutscher Kunde kauft bei amazon.de

Ein Produkt eines amerikanischen Händlers

Deutscher Kunde kauft beiamazon.com

TochterfirmaDeutscher Kunde kauft beieinem amerikan. HändlerÜber einen Server in den USA

Die Praxis (2)

30.01.2008 10Lars Engelhardt

Deutsches Recht ist anzuwenden wenn:•Daten in Deutschland erhoben werden•Hardware in Deutschland zur Erhebung genutzt wird (dazu zählen auch Leitungen)•Daten durch Java-Applets, Active-X-Controls oder Cookies übertragen werden•Ein Angebot auf deutsche Kunden zugeschnitten ist

Deutsches Recht ist nicht anzuwenden wenn:•Bei einem ausländischen Unternehmen bestellt wird, welches weder in Deutschland ansässig ist, noch hier Hardware betreibt•Zu den zu schützenden Daten zählt nicht die IP, da ein Homepagebetreiber sich nicht gegen den Erhalt „wehren“ kann

Die Praxis (3)

30.01.2008 11Lars Engelhardt

§28 BDSG„Das Übermitteln personenbezogener Daten für dieErfüllung eigener Geschäftszwecke ist zulässig.“

Amazon.de-Datenschutzerklärung„Wir geben die Informationen, die wir erhalten,[…]weiter an Verbundene Unternehmen, die von Amazon.com, Inc. beherrscht werden und deren Tochtergesellschaften“

Fazit

30.01.2008 12Lars Engelhardt

• Unterschiedliche Rechtstraditionen Probleme bei der Datenverarbeitung und –übermittlung• Safe-Harbor-Lösung auch mit anderen Ländern denkbar• Eine eindeutige Aussage über den Datenschutz ist nicht machbar, man

kann nur erahnen, welche Rechtsbrüche begangen werden z.B. Nutzung der Daten von amazon.com zur Terrorbekämpfung• Geltendes Recht, vor allem im Internet, für den Nutzer nicht immer sofort

erkennbar

?

? ?

???

?

?

?

?

?

?

?

??

? ?

?

?

?

?

?

?

?

?

??

?

??

?

?

?

Fragen?

Vielen Dank für die Aufmerksamkeit!