Transborder DataFlow Vergleich von Praktiken in den USA

Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU Lars Engelhardt

Definition Datenschutz/privacy Datenschutz: Privacy: • Eigenständige Entwicklung vom Schutz der Privatsphäre (EMRK Art. 8) • Richtlinie 95/46/EG • Umsetzung in allen Mitgliedstaaten • Übersetzung ist nicht eindeutig: Privatsphäre, Intimsphäre, Ungestörtheit • Kein eigenständiges Recht, nur Teil der Rechte zum Schutz der Privatsphäre Ø Sehr allgemeine Rechte • Datenschutz nur unzureichend 30. 01. 2008 Lars Engelhardt 2

Datenschutz: Ein Vergleich! Richtlinie 95/46/EG Kein spezielles Datenschutzgesetz • Harmonisierung der Gesetze in der EU • Grundsätzliches Verbot der Verarbeitung personenbezogener Daten • Einbeziehung nicht-öffentlicher Datenverarbeiter • Sicherung und Kontrolle durch unabhängige Stellen • Privacy Act: Schutz vor hoheitlichen Eingriffen • Patriot Act: Datenschutz kann außer Kraft gesetzt werden • Kein geregelter Schutz im nichtöffentlichen Bereich • Flickenteppich aus nationalen und bundesstaatlichen Gesetzen zum Schutz personenbezogener Daten 30. 01. 2008 Lars Engelhardt 3

Drittstaaten-Regelung in RL 95/46/EG Artikel 25 Absatz 1 erlaubt die Übermittlung in Drittstaaten, „wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. “ Angemessenheit des Schutzniveaus • • Art der Daten Zweckbestimmung Dauer der Verarbeitung Geltenden Rechtsnormen im Drittland Der Datenmissbrauch außerhalb der EU soll verhindert werden. 30. 01. 2008 Lars Engelhardt 4

Safe-Harbor-Lösung (1) Die USA besitzen kein angemessenes Schutzniveau Lösung: Artikel 25 Absatz 5 und 6: „Die Kommission kann feststellen, dass ein Drittland […] ein angemessenes Schutzniveau gewährleistet. “ ØSafe-Harbor-Lösung 30. 01. 2008 Lars Engelhardt 5

Safe-Harbor-Lösung (2) • • • Beschluss der EU-Kommission und des US-Handelsministerium 26. Juli 2000 Kern des Abkommens: „Grundsätze des sicheren Hafens“ und die 15 „FAQ‘s“ Quasi-Datenschutzerklärung von US-Unternehmen Bei Unklarheiten ist US-Recht heranzuziehen § § § 30. 01. 2008 Sensitive Data (FAQ 1) Journalistic Exceptions (FAQ 2) Investment Banking and Audits (FAQ 4) Self-Certification (FAQ 6) Human Resources (FAQ 9) Pharmaceutical and Medical Products (FAQ 14) Lars Engelhardt 6

Safe-Harbor-Lösung (3) Teilnahme an einem „Gütesiegelprogramm“ oder durch „Selbstzertifizierung“ 30. 01. 2008 Lars Engelhardt 7

Safe-Harbor-Lösung (4) Fazit: • • • 30. 01. 2008 Notwendiges Konstrukt Lösung auf kleinstem Nenner Datenschutzniveau wurde verbessert Selbstzertifizierung leicht missbrauchbar US-Handelsaufsicht hat zu wenig rechtliche Macht EU-Behörden erhalten keinen Einblick Lars Engelhardt 8

Die Praxis (1) Welches Recht gilt im Internet? Tochterfirma Über einen Server in den USA Deutscher Kunde kauft bei einem amazon. de amazon. com amerikan. Händler Ein Produkt eines amerikanischen Händlers 30. 01. 2008 Lars Engelhardt 9

Die Praxis (2) Deutsches Recht ist anzuwenden wenn: • Daten in Deutschland erhoben werden • Hardware in Deutschland zur Erhebung genutzt wird (dazu zählen auch Leitungen) • Daten durch Java-Applets, Active-X-Controls oder Cookies übertragen werden • Ein Angebot auf deutsche Kunden zugeschnitten ist Deutsches Recht ist nicht anzuwenden wenn: • Bei einem ausländischen Unternehmen bestellt wird, welches weder in Deutschland ansässig ist, noch hier Hardware betreibt • Zu den zu schützenden Daten zählt nicht die IP, da ein Homepagebetreiber sich nicht gegen den Erhalt „wehren“ kann 30. 01. 2008 Lars Engelhardt 10

Die Praxis (3) § 28 BDSG „Das Übermitteln personenbezogener Daten für die Erfüllung eigener Geschäftszwecke ist zulässig. “ Amazon. de-Datenschutzerklärung „Wir geben die Informationen, die wir erhalten, […]weiter an Verbundene Unternehmen, die von Amazon. com, Inc. beherrscht werden und deren Tochtergesellschaften“ 30. 01. 2008 Lars Engelhardt 11

Fazit • Unterschiedliche Rechtstraditionen Ø Probleme bei der Datenverarbeitung und –übermittlung • Safe-Harbor-Lösung auch mit anderen Ländern denkbar • Eine eindeutige Aussage über den Datenschutz ist nicht machbar, man kann nur erahnen, welche Rechtsbrüche begangen werden Ø z. B. Nutzung der Daten von amazon. com zur Terrorbekämpfung • Geltendes Recht, vor allem im Internet, für den Nutzer nicht immer sofort erkennbar 30. 01. 2008 Lars Engelhardt 12

Fragen? ? ? ? ? ? ? ? ? ? Vielen Dank für die Aufmerksamkeit!