Safe Harbor und Privacy Shield waren gestern – angeblich bereiten die USA ein neues Datenschutzgesetz aus, das ähnlich unserer DSGVO konzipiert sein soll.
Wir erklären, wie die USA das Thema Datenschutz bislang gehandhabt hat, welche Konsequenzen die amerikanischen Richtlinien für Unternehmen hatten und was die Welt von der neuen Richtlinie erwarten darf.
Was ist das Safe Harbor Abkommen?
Um die Geschichte des amerikanischen Datenschutz zu verstehen, muss man beim Safe Harbor Abkommen anfangen. Die von 2000 bis 2015 gültige Richtlinie regelte die Einhaltung von datenschutzrelevanten Grundsätzen, zu denen sich Unternehmen aus den USA öffentlich bekennen mussten, wenn sie personenbezogene Daten aus Europa erheben und verarbeiten wollten (zum Beispiel Google, Facebook und Co.).
Das ambitionierte Ziel war, das Schutzniveau halbwegs auf die Höhe des europäischen Pendants zu heben. Inhaltlich verfügte das Safe Harbor Abkommen über sieben Grundsätze, die von den angeschlossenen Unternehmen einzuhalten waren. Die Krux dabei: eine externe Zertifizierung oder Prüfungskommission gab es nicht. Wer also als US-Unternehmen auf den europäischen Märkten mitmischen wollte, musste lediglich erklären, nach dem Safe Harbor Abkommen zu handeln.
Die erwähnten sieben Grundsätze des Abkommens lauteten wie folgt:
- Informationspflicht: Nutzer mussten über die erhobenen Daten sowie deren Verwendungszweck in Kenntnis gesetzt werden
- Wahlmöglichkeit: Ein Widersprechen der Datennutzung musste möglich sein
- Weitergabe der Daten: Eine Mischung aus den ersten beiden Prinzipien. Zunächst musste der Nutzer über die (geplante) Weitergabe informiert werden, danach hatte er die Möglichkeit, zu widersprechen
- Datensicherheit: Die Unternehmen mussten für eine adäquate Datensicherheit sorgen
- Datenintegrität: Die automatisch erhobenen Daten mussten vollständig und korrekt sein
- Auskunftsrecht: Nutzer mussten die Möglichkeit haben, sämtliche ihnen zugeordneten Daten zu erhalten und Änderungen sowie Löschungen zu beantragen
- Durchsetzung: Einrichtung von Stellen, an die Nutzer sich wenden konnten, wenn berechtigte Zweifel an der korrekten Handhabung und Durchführung der ersten sechs Prinzipien bestanden
Safe Harbor Abkommen ungültig – wie der europäische Gerichtshof die Regelung kippte
Im Jahr 2015 war Schluss für das Safe Harbor Abkommen, das immerhin satte 15 Jahre Bestand hatte. Bedenkt man, wie „jung“ das Internet überhaupt noch ist, eine verhältnismäßig lange Zeitspanne. Nichtsdestotrotz erklärte der europäische Gerichthof das Abkommen vor drei Jahren für ungültig und handelte die Nachfolgerichtlinie Privacy Shield aus. Letztendlich brachen die Nichtüberprüfbarkeit der Regeleinhaltungen, die Klage eines Datenschutzaktivisten gegen Facebook und die Enthüllungen von Edward Snowden der laschen Vereinbarung das Genick. Sogar von einer Gefährdung der europäischen Grundrechte war die Rede.
Die Privacy Shield Vereinbarung – Hintergrund und Prinzipien
Als Nachfolgerichtlinie des Safe Harbor Abkommen, trat die Privacy Shield Vereinbarung im Jahr 2016 in Kraft und hat bis heute Bestand. Kern der optimierten Richtlinie ist die Verbesserung der am Safe Harbor Abkommen kritisierten Punkte. So richtete das amerikanische Außenministerium mit Inkrafttreten der neuen Regelung eine unabhängige Ombudsstelle ein, um die Beschwerden von EU-Bürgern nachhaltig und sorgfältig abarbeiten zu können. Die Zusammenarbeit der Institution mit US-Geheimdiensten wurde dabei ausdrücklich ausgeschlossen. Darüber hinaus wurden die datenschutzrechtlichen Anforderungen verhältnismäßig drastisch verschärft und die korrespondierenden Informationspflichten exakter definiert. Aller Optimierungen zum Trotz, ist das Thema Datenschutz der USA aber nach wie vor Zündstoff für immer wieder neu aufkeimende Diskussionen und Debatten. Vor diesem Hintergrund berichtete jetzt die Washington Post, dass die USA an einer weiteren/neuen Verordnung arbeite, deren Inhalt unserer DSGVO ähnlich sei.
Einheitliche Datenschutzrichtlinie in den USA geplant
Nicht nur zahlreiche Datenskandale rund um amerikanische Unternehmen, sondern auch das Inkrafttreten der europäischen Datenschutzgrundverordnung im Mai diesen Jahres und Kaliforniens Alleingang mit einer eigenen Datenschutzrichtlinie, scheinen die US-Regierung zum Handeln zu zwingen. Erste Gespräche mit (Groß-)Konzernen sowie Verbraucherschützern sollen bereits stattgefunden haben, wie die Washington Post berichtete. Die Regierung wolle die Rechte des Verbrauchers beim Datenschutz stärken, aber gleichzeitig die Balance wahren, wurde das Weiße Hauses zitiert. Übersetzt kann das genauso gut bedeuten: Mehr Rechte ja, aber nicht auf Kosten unserer Big Player Facebook, Google und Co. Zumal die neue US-Datenschutzverordnung auch immer noch an der Uneinigkeit zwischen Republikanern und Demokraten scheitern kann. Es bleibt also weiter spannend und ein endgültiges Ende der ganzen Misere ist noch lange nicht in Sicht.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung