– 31 –
K a s t e n zu Nr. 3.2.4
Funktionsweise von Safe Harbor
Durchführung in den USA
Online-Selbstzertifizierungsverfahren des US-Handelsministeriums für amerikanische Unternehmen/Organisationen
– Beitritt freiwillig, danach Grundsätze verbindlich
– Liste der beigetretenen Unternehmen/Organisationen
http://www.export.gov/safeharbor
Gremien zur Streitbeilegung
– Nicht-staatliche unabhängige Schiedsstellen mit
Sanktionsbefugnissen:
BBBOnline
TRUSTe
Direct Marketing Association Safe Harbour Program
Entertainment Software Rating Board Privacy Online EU Safe Harbour Programme
Judicial Arbitration and Mediation Service (JAMS)
American Arbitration Association
– Alternativ: Meldung an Federal Trade Commission,
die Geldstrafen und Unterlassungsanordnungen aussprechen kann
– Alternativ: Zusammenarbeit mit dem Beschwerdepanel der EU-Datenschutzbehörden
Umsetzung in Europa
Veröffentlichung aller Dokumente in den Amtssprachen
der Gemeinschaft http://www.europa.eu.int/comm/privacy
Einrichtung eines Beschwerdepanels
– Fragen und Antworten http://www.europa.eu.int/
comm/internal_market/de/dataprot/news/datatransf.
htm
– Beratung fernmündlich oder über die Mailbox der
Generaldirektion Binnenmarkt (Markt-A4@cec.
eu.int)
Um der Forderung des EP nachzukommen, spätestens
drei Jahre nach Inkrafttreten der Safe-Harbor-Vereinbarung eine Überprüfung durchzuführen, erteilte die Kommission im Herbst 2003 einem internationalen Team von
Fachleuten aus verschiedenen Ländern den Auftrag zu einer Studie mit dem Ziel, den Zeitraum zwischen dem
1. November 2000 und dem 1. November 2003 zur Vorbereitung einer „Safe-Harbor-Review“ zu begutachten.
Am 19. April 2004 wurde der Kommission die umfangreiche, einschließlich Anhängen fast 300 Seiten starke
Safe Harbor Decision Implementation Study vorgelegt,
auf die die Kommission – neben ihren eigenen Erfahrungen und Recherchen – ihre Beurteilung stützt. Diese
präsentierte sie zum 20. Oktober 2004 mit dem Commission Staff Working Document – The implementation
of Commission Decision 520/2000/EC on the adequate
protection of personal data provided by the Safe Harbour
privacy Principles and related Frequently Asked Questions
issued by the US Department of Commerce (Dok.
SEC (2004) 1323).
In ihrer Überprüfungsstudie gelangt die Kommission im
wesentlichen zu folgenden Ergebnissen:
– Wenngleich die Teilnahme seitens der amerikanischen
Unternehmen am Safe-Harbor-Programm insgesamt
recht gering ist, ist dennoch ein stetiger Anstieg zu
verzeichnen. Von knapp 300 Unternehmen in 2002 und
400 in 2003, waren es bei Redaktionsschluss über 600.
– Zahlreiche der durch Selbstregulierung dem SafeHarbor-Programm beigetretenen Unternehmen besitzen entweder keine privacy policy, die den Voraussetzungen von Safe Harbor entspricht, oder es mangelt
überhaupt an einer solchen. Dies veranlasst die Kommission zu einer Reihe von Vorschlägen an das amerikanische Wirtschaftsministerium und an die Federal
Trade Commission (FTC). Da die interessierten Unternehmen sich ohne weitere Nachprüfung durch Selbstzertifizierung in das Programm eintragen können,
werden Ministerium und FTC zu einer proaktiven
Überprüfung aufgefordert, die die Teilnehmer mit einer mangelhaften privacy policy rechtzeitig erkennen
und ausschließen kann.
– Zwar kann bis dato als positiv bewertet werden, dass
noch keine Beschwerdefälle bekannt geworden sind,
die nicht von den davon berührten Unternehmen zur
Zufriedenheit der Betroffenen beigelegt wurden (vgl.
schon 19. TB Nr. 3.7). Allerdings haben sich bisher
weder Unternehmen noch Betroffene an das EU Panel
gewandt.
Eine wichtige Aufgabe wird darin liegen, die Auswirkungen des US Patriot Act und anderer Gesetze, die die Vereinigten Staaten im Gefolge der Ereignisse des
11. September 2001 erlassen haben, auf das Funktionieren des Safe-Harbor-Arrangements zu untersuchen und
zu überprüfen, ob sie die Angemessenheit des Datenschutzniveaus tangieren.
Die Safe Harbor Decision Implementation Study ist auf
der Website der Kommission verfügbar unter http://europa.
eu.int/comm/internal_market/privacy/index_en.htm.
3.2.5
Datenschutz im Europarat
Das Datenschutzübereinkommen des Europarats wurde
inzwischen von 25 Staaten ratifiziert.
Mit der Aufnahme von Monaco und von Serbien/Montenegro ist die Zahl der Mitglieder des Europarates auf 46
angewachsen. Mittlerweile sind 25 Staaten dem „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ – der
Europaratskonvention 108 – aus dem Jahre 1981 beigetreten.
BfD
20. Tätigkeitsbericht
2003–2004