Zur Einhaltung der „Safe Harbor“-Grundsätze bei der transatlantischen Datenübermittlung
der Abgeordneten Gerold Reichenbach, Waltraud Wolff (Wolmirstedt), Olaf Scholz, Petra Crone, Martin Dörmann, Elvira Drobinski-Weiß, Siegmund Ehrmann, Petra Ernstberger, Gabriele Fograscher, Iris Gleicke, Wolfgang Gunkel, Michael Hartmann (Wackernheim), Frank Hofmann (Volkach), Johannes Kahrs, Ulrich Kelber, Lars Klingbeil, Daniela Kolbe (Leipzig), Ute Kumpf, Christian Lange (Backnang), Burkhard Lischka, Kirsten Lühmann, Thomas Oppermann, Holger Ortel, Aydan Özoguz, Heinz Paula, Dr. Wilhelm Priesmeier, Kerstin Tack, Rüdiger Veit, Dr. Dieter Wiefelspütz, Brigitte Zypries, Dr. Frank-Walter Steinmeier und der Fraktion der SPD
Vorbemerkung
Am 3. Juni 2010 hat die Bundesministerin für Ernährung, Landwirtschaft und Verbraucherschutz Ilse Aigner in einer Pressemitteilung erklärt, dass sie ihre Mitgliedschaft in dem sozialen Netzwerk Facebook beenden werde. Zur Begründung gab sie an, dass sie es als Verbraucherschutzministerin nicht akzeptieren könne, dass ein Unternehmen wie Facebook gegen das Datenschutzrecht verstößt und die Privatsphäre seiner Mitglieder ignoriert.
Daten von EU-Bürgern dürfen nur dann an Drittstaaten übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Um den Handel zwischen der Europäischen Union (EU) und den USA zu erleichtern, hat das US-Handelsministerium die „Safe Harbor“-Grundsätze entwickelt und in „häufig gestellten Fragen“ Leitlinien zu ihrer Umsetzung festgelegt. Am 26. Juli 2000 hat die Europäische Union anerkannt, dass diese Grundsätze ein ausreichendes Datenschutzniveau gewährleisten. So können Daten europäischer Verbraucherinnen und Verbraucher an Unternehmen in den USA übermittelt und dort verarbeitet werden, sofern diese Unternehmen den Grundsätzen beigetreten sind.
Die „Safe Harbor“-Grundsätze sind in letzter Zeit zunehmend in die Kritik geraten. So hat etwa der australische Datenschutzexperte Chris Connolly in seiner Untersuchung „The US Safe Harbor – Fact or Fiction?“ Ende 2008 kritisiert, dass diese Grundsätze in der Regel von den Mitgliedsunternehmen nicht eingehalten werden. Daneben werden Vollzugsdefizite, die mangelnde Sanktionierung von Verstößen, die unwahre Behauptung mehrerer Unternehmen, den Grundsätzen beigetreten zu sein sowie die Tatsache, dass die vom US-Handelsministerium geführte Unternehmensliste Unternehmen enthält, die nicht mehr Mitglied des Programms sind, kritisiert.
Die obersten Datenschutzbehörden des Bundes und der Länder haben in ihrem Beschluss des so genannten Düsseldorfer Kreises vom 28./29. April 2010 darauf hingewiesen, dass sich die datenexportierenden Unternehmen bei Übermittlungen von Daten in die USA nicht mehr allein auf die Behauptung einer „Safe Harbor“-Zertifizierung des Datenimporteurs verlassen können und sich diese vielmehr nachweisen lassen sollen. So äußerte der Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein Thilo Weichert: „Umgehend muss mit den USA in Verhandlungen eingetreten werden, um die Grundsätze zu überarbeiten und effektiv zu machen.“
Auch der Trans Atlantic Consumer Dialogue (TACD) hat in seiner Resolution vom 10. Mai 2010 den Regierungen vorgeworfen, „nicht ausreichend für den Schutz der Mitglieder von Online-Communities zu sorgen“.
Wir fragen die Bundesregierung:
Fragen26
Welchem Ziel dient die Anerkennung der „Safe Harbor“-Grundsätze und der in den „häufig gestellten Fragen“ niedergelegten Leitlinien nach Auffassung der Bundesregierung?
Welche nationalen, europäischen und völkerrechtlichen Vorgaben müssen nach Auffassung der Bundesregierung die US-Anbieter sozialer Netzwerke zur Wahrung des Rechts auf informationelle Selbstbestimmung und zur Wahrung der Persönlichkeitsrechte der Nutzerinnen und Nutzer in Deutschland beachten?
Hält die Bundesregierung die Selbstzertifizierung der beitretenden Unternehmen für ein geeignetes Instrument, um die Überwachung und Durchsetzung der Grundsätze des „Sicheren Hafens“ zu gewährleisten?
Wie findet der Prozess der Zertifizierung konkret statt?
Wie viele Unternehmen sind derzeit zertifiziert, und wie vielen Unternehmen wurde die Zertifizierung bisher wieder entzogen?
Hat die Bundesregierung oder ein anderer Mitgliedstaat der EU in der Vergangenheit die Möglichkeit genutzt, der Federal Trade Commission (FTC) die Verletzung der „Safe Harbor“-Grundsätze durch US-Unternehmen anzuzeigen, und wenn ja, in Bezug auf welche Unternehmen?
Hat die Bundesregierung Überprüfungsmechanismen zur Effektivität des Abkommens eingesetzt, und falls ja, welche?
Ist der Bundesregierung bekannt, in wie vielen Fällen die Federal Trade Commission auf die „Safe Harbor“-Grundsätze bezogene Verstöße gegen Abschnitt 5 des FTC-Act festgestellt hat, der unlautere und irreführende Geschäftspraktiken verbietet?
Ist der Bundesregierung bekannt, in wie vielen der in Frage 8 genannten Fälle die FTC
a) eine Anordnung erwirkt hat, die die beanstandete Praxis untersagt oder
b) vor einem Bezirksgericht geklagt hat und daraufhin ein Bundesgericht eine Anordnung mit gleicher Wirkung wie in Buchstabe a angesprochen, erlassen hat?
Ist der Bundesregierung die Anzahl der Fälle bekannt, die seit Anwendung der „Safe Harbor“-Grundsätze in Streitschlichtungsverfahren endeten?
Sind die in den „Safe Harbor“-Grundsätzen vorgesehenen Sanktionen auf Grundlage des dort vorgesehenen Durchsetzungsprinzips nach Auffassung der Bundesregierung ausreichend, um die Einhaltung der Vereinbarung zu gewährleisten?
Ist die Bundesregierung der Auffassung, dass sich die Unternehmen Facebook und Google an die „Safe Harbor“-Grundsätze und die in den „häufig gestellten Fragen“ festgelegten Leitlinien halten?
Hat das Unternehmen Facebook mit der im Dezember 2009 vorgenommenen Änderung seiner Datenschutzeinstellungen (vgl. heise.de vom 29. Januar 2010, „Facebook verstößt gegen europäische Datenschutzstandards“) nach Auffassung der Bundesregierung gegen europäisches Datenschutzrecht verstoßen?
Inwieweit unterliegen die US-Anbieter von sozialen Netzwerken nach Auffassung der Bundesregierung geringeren rechtlichen Anforderungen, weil sie sich auf die „Safe Harbor“-Vereinbarung stützen können, und verlieren sie diese Privilegierung, wenn sie Niederlassungen im EU-Raum gründen?
Welche Erkenntnisse hat die Bundesregierung darüber, inwieweit die rechtlichen Anforderungen zur Wahrung dieser Rechte der Nutzerinnen und Nutzer durch die Nutzungsbedingungen bei sozialen Netzwerken eingehalten werden?
Welche Erkenntnisse hat die Bundesregierung zu juristischen Auseinandersetzungen zwischen Facebook und Nutzerinnen und Nutzern (bzw. klagebefugten Verbänden) in Deutschland im Hinblick auf die Nichteinhaltung entsprechender datenschutzrechtlicher Vorgaben?
Wie beurteilt die Bundesregierung die Erklärung des Düsseldorfer Kreises vom 28./29. April 2010, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer „Safe Harbor“-Zertifizierung von US-Unternehmen verlassen dürfen, und welche Schlussfolgerungen zieht sie hieraus?
Welche Schlussfolgerungen zieht die Bundesregierung aus den Ergebnissen der Untersuchungen des australischen Datenschutzexperten Chris Connolly vom Dezember 2008, die 2009 bestätigt wurden, wonach sich lediglich 3,4 Prozent der US-Unternehmen, die den „Safe Harbor“-Grundsätzen beigetreten sind, auch tatsächlich an den darin festgelegten Datenschutzstandard halten?
Welche Schlussfolgerungen zieht die Bundesregierung aus der Resolution des Trans Atlantic Consumer Dialogue vom 10. Mai 2010, in der der TACD den Regierungen vorwirft „nicht ausreichend für den Schutz der Mitglieder von Online-Communities zu sorgen“?
Wie steht die Bundesregierung zu der Forderung des TACD, wonach soziale Netzwerke den Zugang zu Verbraucherdaten und deren Weiterverarbeitung nicht zur Bedingung für die Nutzung der eigenen Dienstleistung machen dürfen?
Wie bewertet die Bundesregierung den Vorschlag des australischen Datenschutzexperten Chris Connolly in seiner oben genannten Untersuchung, wonach die EU sich für eine Überarbeitung der „Safe Harbor“-Grundsätze einsetzen sollte mit dem Ziel, dass Unternehmen ihre Datenschutzbestimmungen im Internet veröffentlichen müssen?
Wie bewertet die Bundesregierung den Vorschlag des australischen Datenschutzexperten Chris Connolly in seiner oben genannten Untersuchung, wonach die EU sich für eine Überarbeitung der „Safe Harbor“-Grundsätze einsetzen sollte mit dem Ziel, dass Verbraucherinnen und Verbraucher Zugang zu für sie finanziell tragbaren Streitschlichtungsverfahren erhalten?
Ist die Bundesregierung der Auffassung, dass die „Safe Harbor“-Grundsätze die Daten der Verbraucherinnen und Verbraucher in Deutschland ausreichend schützen, und wenn nein, welche Initiativen hat die Bundesregierung zur Überarbeitung der Grundsätze bisher ergriffen, bzw. welche Initiativen plant sie hierzu?
Hat die Bundesregierung die „Safe Harbor“-Grundsätze schon einmal auf die Tagesordnung des Transatlantischen Wirtschaftsrates oder anderer transatlantischer Gremien gesetzt, und wenn nein, warum nicht?
Hat sich die Bundesregierung vor dem Hintergrund der Erfahrungen mit den „Safe Harbor“-Grundsätzen in die Verhandlungen zu einem allgemeinen Datenschutzabkommen mit den USA eingebracht, bei dem auch die Frage des Zugriffs auf Daten Privater durch US-Behörden im Raum steht?
Rät die Bundesregierung vor diesem Hintergrund deutschen Verbraucherinnen und Verbrauchern, ihre Facebook-Profile zu löschen, oder sieht die Bundesregierung andere Möglichkeiten, um den Schutz von Nutzerdaten deutscher Verbraucherinnen und Verbraucher im transatlantischen Datenverkehr zu gewährleisten?