Der "Düsseldorfer Kreis" hat kürzlich einen Beschluss zum Umgang von Unternehmen mit Datentransfers auf Grundlage von "Safe Harbor" Vereinbarungen erlassen. Danach müssen deutsche Unternehmen bei einem solchen Datentransfer aktiv prüfen, ob das Zielunternehmen die "Safe Harbor" Richtlinien tatsächlich einhält.
Der "Düsseldorfer Kreis" ist eine informelle Vereinigung der obersten deutschen Datenschutzbehörden, die sich mit der Einhaltung des Datenschutzes im nicht-öffentlichen Bereich befasst. Die Beschlüsse des Kreises haben entsprechend zwar keine unmittelbar rechtssetzende Wirkung, gelten aber als verlässliche Leitlinie für das künftige Handeln der Datenschutzbehörden.
Der Beschluss vom 29. April 2010 betrifft die Übertragung personenbezogener Daten von Deutschland in die USA, konkret die Vereinbarung vom Juli 2000 zwischen der EU und dem US-Handelsministerium zum "Safe Harbor". Diese Vereinbarung dient seither der Sicherstellung eines angemessenen Datenschutzniveaus in US-Unternehmen, welche personenbezogene Daten aus Deutschland importieren.
Seit ihrer Einführung haben die "Safe Harbor" Regelungen den rechtmäßigen Transfer personenbezogener Daten in die USA erheblich erleichtert. Die Regelungen basieren auf einer Selbstzertifizierung der datenimportierenden Unternehmen. Da es bei dieser Selbstzertifizierung seitens der europäischen wie auch der amerikanischen Aufsichtsbehörden an einer flächendeckende Überprüfung der selbstzertifizierten Unternehmen fehlt, geriet das Verfahren zuletzt zunehmend in die Kritik.
Diese Kritik nahm der "Düsseldorfer Kreis" zum Anlass zu besagtem Beschluss. Danach reicht es für den deutschen Datenexporteur nicht aus, sich auf die Angabe des Datenimporteurs zu verlassen, er biete auf "Safe Harbor"-Grundlage ein angemessenes Datenschutzniveau. Stattdessen seien Unternehmen, die persönliche Daten von Deutschland in die USA exportieren, zu einer aktiven Überprüfung der tatsächlichen Einhaltung der "Safe Harbor" Richtlinien verpflichtet. Diese aktive Prüfpflicht umfasse zumindest vom Datenimporteur einen schriftlichen Nachweis zum einen für das Bestehen des Zertifikats, welches zudem nicht älter als sieben Jahre sein darf, und zum anderen für die Befolgung der Informationspflichten nach den "Safe Harbor" Vereinbarungen. Diese Informationspflicht umfasst die unmissverständliche Benachrichtigung des Betroffenen über den Grund der Datenverarbeitung, darüber, wie der Betroffene den Datenverarbeiter im Falle von Fragen oder Beschwerden erreichen kann, an welche Kategorien von Dritten die Daten weitergegeben werden dürfen und in welcher Weise die Verwendung und Weitergabe der Daten eingeschränkt werden kann.
Zudem sei der Datenexporteur auf Nachfrage der zuständigen Datenschutzbehörde verpflichtet, anhand einer schriftlichen Dokumentation nachzuweisen, dass er die Einhaltung dieser Voraussetzungen beim Datenimporteur überprüft hat. Sollte im Rahmen dieser Prüfung eine Nichtbeachtung der "Safe Harbor" Regelungen festgestellt werden, so müsse das Unternehmen die zuständige Aufsichtsbehörde darüber informieren. In so einem Fall, so der Rat des Düsseldorfer Kreises, sei zur Gewährleistung eines angemessenen Datenschutzniveaus von Standard-Vertragsklauseln oder bindenden Unternehmensrichtlinien (Binding Corporate Rules) Gebrauch zu machen.
Nach der Veröffentlichung des Beschlusses ist zu erwarten, dass die zuständigen Stellen anderer EU-Staaten zur ebenfalls eine Verschärfung der "Safe Harbor" Anforderungen fordern werden.
International tätige Unternehmen, die Daten zwischen Deutschland und den USA übertragen, sollten ihre Datenschutzrichtlinien überprüfen und geeignete Maßnahmen zur Überprüfung der Einhaltung der "Safe Harbor" Regelungen treffen, welche auch den von dem Düsseldorfer Kreis neu aufgestellten Anforderungen gerecht werden. Zudem sollten weltweit agierende US-Unternehmen in Zukunft auf weitere rechtliche Hürden im Rahmen von Datenübertragungen persönlicher Daten gefasst sein und die Datenschutzthematik nicht aus den Augen lassen.