11       Europa  und Internationales

Das Jahr 2010 brachte auf internationaler Ebene keine erkennbaren Fortschritte für den Datenschutz. Auf der 32. Internationalen Konferenz der Datenschutz­beauftragten in Jerusalem Ende Oktober fand zwar ein reger Informations- und Meinungsaustausch statt. Bestrebungen in Richtung völkerrechtlicher Absiche­rung des Datenschutzes sind aber weiterhin nicht in Sicht.

Kurz danach legte die Europäische Kommission ein „Gesamtkonzept für den Datenschutz in der Europäischen Union“ vor. Darin bekennt sich die Kommis­sion zu einer grundrechtsorientierten Weiterentwicklung des Datenschutzes in der EU auf allen Ebenen, insbesondere durch eine Fortschreibung der Europäischen Datenschutzrichtlinie von 1995 und durch Einbeziehung der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in das allgemeine Datenschutzrecht. Sie sondiert die Einführung europäischer Zertifizierungsregelungen und will sich für die Festlegung hoher rechtlicher und technischer Datenschutzstandards auf internationaler Ebene einsetzen.

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0609:FIN:DE:HTML

 

11.1       Safe Harbor  weiter in der Kritik

Das Safe-Harbor-Abkommen, das für Wirtschaftsunternehmen einen verein­fachten Datenaustausch zwischen der Europäischen Union und den USA eröffnet, steht weiterhin unter Beschuss.

Die Kritik des ULD an Safe Harbor (32. TB, Tz. 11.4) wird vom Zusammen­schluss der deutschen Datenschutzaufsichtsbehörden, dem Düsseldorfer Kreis, geteilt. Dieser beschloss, dass in die USA Daten exportierende Unternehmen die über Safe Harbor erfolgte Selbstzertifizierung jeweils überprüfen müssen. Die im Internet hierzu verfügbaren Informationen sind häufig falsch und inaktuell und entsprechen oft nicht den rechtlichen Anforderungen.

https://www.datenschutzzentrum.de/internationaler-datenverkehr/Beschluss_28_29_04_10neu.pdf

Ein Austausch mit einer australischen Forschungseinrichtung ergab, dass sich gegenüber einer Untersuchung im Jahr 2008 keine praktischen Verbesserungen ergeben haben. Danach behaupten 2.170 US-Unternehmen, gemäß Safe Harbor privilegiert zu sein, wovon aber 388 beim US-Handelsministerium überhaupt nicht registriert waren. Von den dort aufgeführten Unternehmen waren 181 Zerti­fikate schon wegen ihres Zeitablaufs nicht mehr gültig. Bei Überprüfung allein des Safe-Harbor-Grundsatzes der „Durchsetzung“ ergab sich, dass von den 2.170 US-Unternehmen 940 für Betroffene keine Informationen bereitstellen, wie diese ihre Rechte durchsetzen können. Bei 314 weiteren Unternehmen ist ein Verfahren vorgesehen, das die Betroffenen zwischen 2.000 und 4.000 Dollar kostet. Es ist kein Wunder, dass hier kein einziges Beschwerdeverfahren durchgeführt wurde: Trotz insgesamt jährlich über 2.000 Beschwerden wegen Verletzung der Safe-Harbor-Grundsätze hat die in den USA zuständige Federal Trade Commission (FTC) nur sieben Unternehmen abgemahnt, weil sie sich zu Unrecht auf Safe Harbor berufen haben.

Was ist zu tun?
Das Safe-Harbor-Abkommen sollte von der EU gekündigt werden, damit über Neuverhandlungen eine reale Sicherung des Datenschutzes bei dem Datenaus­tausch mit den USA erreicht wird.

11.2       Internationale Standardisierung von Datenschutz

„Privacy by Design“ bedeutet, dass Datenschutz bei der Gestaltung von Technik und organisatorischen Abläufen eingeplant und umgesetzt wird. Damit lassen sich datenschutzrechtliche Probleme von vornherein vermei­den. Die internationale Standardisierung von Datenschutz soll an diesem Punkt ansetzen.

Bereits seit 2007 beteiligt sich das ULD an internationaler Datenschutznormung und wirkt in verschiedenen Standardisierungs­organisationen im Rahmen von europä­ischen Forschungsprojekten mit (32. TB, Tz. 2.3.2). Ein Schwerpunkt besteht in der Mitarbeit in der Arbeitsgruppe zu Datenschutz und Identitätsmanagement der Internationalen Standardisierungsorganisation (ISO). Innerhalb dieser Arbeits­gruppe ist es gelungen, andere Datenschutzbehörden enger in die Mitarbeit einzubinden: Seit vergangenem Jahr wirken auch Vertreter der französischen Datenschutzbehörde CNIL direkt an der Arbeit mit; mit der Artikel-29-Daten­schutzgruppe, dem Koordinationskreis aller nationalen Datenschutzbehörden in der EU, besteht mittlerweile eine etablierte Zusammenarbeit, die gemeinsam durch die CNIL und das ULD koordiniert wird.

Nach gut drei Jahren stehen die ersten internationalen ISO-Standards zu Daten­schutz und Identitätsmanagement vor der Veröffentlichung. Eine Finalisierung des Standards ISO 29100, eines Rahmenstandards zum Datenschutz, zeichnet sich ab. Hiermit werden wohl erstmalig grundlegende Begriffe und Prinzipien des Datenschutzes weltweit in einem technischen Standard übergreifend normiert. Zeitgleich entstehen darauf aufbauende spezifische Standards, z. B. ISO 29101 – Privacy Reference Architecture (Datenschutzreferenzarchitektur) und ISO 24760 – A Framework for Identity Management (Rahmen für Identitätsmanagement). Letzterer bildet u. a. eine Basis für datenschutzförderndes Identitätsmanagement.

Es zeigt sich, dass die Abdeckung der Vielzahl sektorspezifischer Standards für die Datenschutzbehörden personell nicht zu leisten ist, obwohl diesbezüglich ein hoher Bedarf besteht. Initiativen, die hier nach Lösungen suchen, haben sowohl auf nationaler Ebene innerhalb des DIN e.V. als auch auf der Ebene der ISO im Rahmen eines eigens eingerichteten Steuerungskomitees („Privacy Steering Committee“) ihre Arbeit aufgenommen.

Neben der ISO haben weitere Standardisierungsorganisationen das Potenzial der Datenschutzstandardisierung erkannt. So gibt es u. a. im „Internet Architec­ture Board“, einer gemeinsamen Struktur des World Wide Web Consortiums (W3C) und der Internet Engineering Task Force (IETF), erste Versuche, dem Datenschutz einen höheren Stellenwert einzuräumen. Auch in diesen Organisatio­nen, die sich durch hohe Relevanz für die Entwicklung von Standards für das Internet auszeichnen, wirkt das ULD gelegentlich mit und lässt eigene Initiativen einfließen. Ergebnisse der Forschungsarbeiten des ULD, die im vergangenen Jahr diskutiert wurden, sind ein Basisterminologiedokument zur Begriffswelt der Datenminimierung und der Vorschlag „Privicons“ zu grafischen Symbolen (Icons), mit deren Hilfe ein Absender einer E-Mail gegenüber den Empfängern den gewünschten Umgang mit der Nachricht in Bezug auf Geheimhaltung, Weitergabe oder Ähnliches ausdrücken kann.

Was ist zu tun?
Internationale Standards bieten ein hohes Potenzial für einen „Datenschutz durch Technik“, der Datenschutzrisiken schon bei der Entwicklung technischer Systeme minimiert. Daher sollten Datenschutzexperten bei der Erarbeitung der Standards mitwirken. Die Arbeit an diesen Standards sollte so organisiert werden, dass eine effektive Beteiligung von Datenschutzexperten trotz knapper personeller Kapazitäten in den Behörden möglich ist.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel