Leider ist es bislang bei diesen Ankündigungen geblieben. Weder die bereits im Jahre 2012 vorgestellte Consumer Privacy Bill of Rights (vgl. 24. TB Nr. 2.5.4) noch die Anregungen des Podesta-Reports haben bislang zu
gesetzgeberischen Tätigkeiten geführt.
Aufhorchen lässt hingegen die Entscheidung eines New Yorker Bezirksgerichtes vom 25. April 2014, in der die
Firma Microsoft auf Antrag einer nicht näher genannten US-Behörde verpflichtet wird, Daten zu einem Kunden-E-Mail-Konto herauszugeben (vgl. Nr. 9.3.2). Besondere Relevanz erfährt diese Entscheidung, weil der
Durchsuchungs- und Beschlagnahmebeschluss auch Daten einbezieht, die auf Servern in der EU - in diesem
Fall in Irland - gespeichert sind. Das Gericht sieht allein deshalb den Anwendungsbereich des US-Rechts auch
für diese Daten als eröffnet an, weil ein Unternehmen mit Sitz in den USA betroffen ist. Neben dieser äußerst
weitreichenden Interpretation des Geltungsbereichs des US-Rechts, die die datenschutzrechtlichen Rahmenbedingungen in Europa völlig außer Acht lässt, besteht auch deswegen Anlass zur Sorge, weil die eigentlich für
derartige Fälle vorgesehenen internationalen Rechtshilfeabkommen keine Anwendung fanden.
Die durch Edward Snowden im Jahr 2013 aufgedeckten weltweiten Überwachungstätigkeiten der US-Geheimdienste stellen zudem den Datenverkehr zwischen der EU und den USA auf der Basis des Safe -Harbor-Abkommens grundsätzlich in Frage. Aufgrund des nachhaltig erschütterten Vertrauens in einen datenschutzgerechten
Umgang auf US-Seite kündigte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder Mitte
des Jahres 2013 eine Überprüfung an, ob Datenübermittlungen im Rahmen des Safe-Harbor-Systems durch
deutsche Unternehmen ausgesetzt werden müssen. Berichte der US-amerikanischen Bürgerrechtsorganisation
„Center for Digital Democracy“ (CDD) über erhebliche Verstöße gegen die Safe-Harbor-Prinzipien und eine
mangelnde Kontrolle durch die Federal Trade Commission (FTC) nährten zudem die Zweifel an der angemessenen Umsetzung der geltenden Regelung
Die intensive Auseinandersetzung der Europäischen Kommission mit den Safe-Harbor-Prinzipien zum Ende des
Jahres 2013 war daher ebenso folgerichtig wie notwendig. Die Europäische Kommission identifizierte neben
der Problematik des Datenzugriffs durch US-Geheimdienste weitere, strukturelle Mängel der Safe-Harbor-Prinzipien, u. a. bei der Transparenz, der Aufsicht und der Durchsetzung der Betroffenenrechte, die in 13 Empfehlungen für eine Verbesserung von Safe Harbor mündeten. Entgegen der ursprünglichen Planung dauern die Gespräche der Europäischen Kommission mit den US-Behörden noch immer an. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich daher zum Ende des Jahres 2014 an den Kommissionspräsidenten mit der Bitte um eine Sachstandsmitteilung gewandt.
Ermutigend ist hingegen die Nachricht, die FTC habe Ende des Jahres 2014 ein Bußgeld in Höhe von 200.000 $
gegen die Firma TRUSTe verhängt. Das Unternehmen, das von vielen Teilnehmern auf US-Seite zur Zertifizierung der Einhaltung der Safe-Harbor-Prinzipen beauftragt wird, hatte in den Jahren 2006 bis 2013 in mehr als
1.000 Fällen nicht die jährlich vorgesehenen Datenschutzinspektionen vorgenommen. Auch wenn die Bußgeldhöhe angesichts der Dauer des Verstoßes und der Anzahl der Versäumnisse eher gering erscheint, findet jedes
Signal einer spürbaren Datenschutzaufsicht durch die FTC meine Unterstützung.
Eine neue Dynamik erhält die gegenwärtige Diskussion zu Safe Harbor durch eine Vorlage des irischen High
Courts an den Europäischen Gerichtshof (EuGH), die sich vor dem Hintergrund der Kompetenzabgrenzung zwischen Kommission und dem irischen Datenschutzbeauftragten auch mit den Auswirkungen der US-Geheimdienstaktivitäten auf die Verlässlichkeit der Safe-Harbor-Prinzipien befasst. Der auch in ihrer politischen Bedeutung nicht zu unterschätzenden Entscheidung des EuGH sehe ich mit großer Spannung entgegen.
4.7.2 BCR und CBPR - schwer in Einklang zu bringen
Ein Vergleich zwischen den Anforderungen der EU und der APEC an die Genehmigung bzw. Zertifizierung von
Regelungen zu grenzüberschreitenden Datenübermittlungen durch private Unternehmen zeigt Gemeinsamkeiten, überwiegend aber deutliche Unterschiede. Die von der Artikel-29-Gruppe und der „Data Privacy Sub-
– 68 –
BfDI 25. Tätigkeitsbericht 2013-2014