Das
Safe-Harbor-Abkommen
soll eigentlich garantieren, dass personenbezogene Daten,
die von Europa aus an Unternehmen in den USA übermittelt
werden, dort auf Basis der höheren EU-Datenschutzstandards
verarbeitet werden. Soweit die Theorie, die Praxis sieht
leider ganz anders aus; es gibt gewaltige Vollzugsdefizite,
wie jetzt auch ein Gutachten des US-Beratungsunternehmens
Galexia mit dem Titel ""The
US Safe Harbor - Fact or Fiction?"
belegt. Unternehmen in den USA müssen nicht wirklich mit
Sanktionen rechnen, wenn sie die im Abkommen niedergelegten
Grundsätze nicht beachten.Auch
Google dürfte zahlreiche Nutzdaten unter Berufung auf das
Abkommen in die USA übermitteln. In der Diskussion um den
Datenschutz bei dem „Datenkraken“ überrascht es daher, dass
bislang jegliche rechtliche Diskussion darüber fehlt, ob die
Praktiken von Google den Anforderungen des Abkommens
überhaupt entsprechen. Dieses sieht sieben "Principles" vor,
Informationspflicht, Wahlmöglichkeit, Weitergabe,
Sicherheit, Datenintegrität, Auskunftsrecht und
Durchsetzung.
Zur Informationspflicht finden sich
z.B. folgende Ausführungen: "Die Organisation muss
Privatpersonen darüber informieren, zu welchem Zweck sie die
Daten über sie erhebt und verwendet, wie sie die
Organisation bei eventuellen Nachfragen oder Beschwerden
kontaktieren können, an welche Kategorien von Dritten die
Daten weitergegeben werden und welche Mittel und Wege sie
den Privatpersonen zur Verfügung stellt, um die Verwendung
und Weitergabe der Daten einzuschränken. Diese Angaben sind
den Betroffenen unmissverständlich und deutlich erkennbar zu
machen, wenn sie erstmalig gebeten werden, der Organisation
personenbezogene Daten zu liefern, oder so bald wie möglich
danach, auf jeden Fall aber bevor die Organisation die Daten
zu anderen Zwecken verwendet als denen, für die sie von der
übermittelnden Organisation ursprünglich erhoben oder
verarbeitet wurden, oder bevor sie die Daten erstmalig an
einen Dritten weitergibt."
Auch wenn Google sicherlich
immer wieder einzelne Schritte zu einer besseren Information
seiner Nutzer unternimmt (sieh z.B. die
News zum Google
Dashboard), würde es mich nicht überraschen, wenn eine
genauere Untersuchung verschiedener Angebote (ich denke da
z.B. an Google Analytics, bei dem Informationspflichten wohl
zumindest zum Teil auf den einzelnen Websitebetreiber
abgeschoben werden oder an die aktuelle Diskussion um
nutzerspezifische Werbeeinblendungen) Defizite ergeben würde
...
