Sie sind hier: Home » Recht » Datenschutz und Compliance

Anlassloser Zugriff auf personenbezogene Daten


Verletzung der Safe-Harbor-Vereinbarung muss Konsequenzen haben - Datenschutzkonferenz: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten
Die Europäische Kommission hat stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind

(19.08.13) - Angesichts der Berichte über die umfassenden und anlasslosen Überwachungsmaßnahmen ausländischer Geheimdienste, insbesondere der US-amerikanischen National Security Agency (NSA), weist die Konferenz der Datenschutzbeauftragten des Bundes und der Länder auf die Befugnisse hin, die den Aufsichtsbehörden beim internationalen Datenverkehr zwischen Unternehmen in Deutschland und Drittstaaten nach dem Bundesdatenschutzgesetz und der europäischen Datenschutzrichtlinie bereits jetzt zustehen.

Die Europäische Kommission hat in mehreren Entscheidungen Grundsätze des "sicheren Hafens"("Safe Harbor") zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. Die Beachtung dieser Vorgaben soll gewährleisten, dass personenbezogene Daten, die in die USA oder andere Drittstaaten übermittelt werden, dort einem angemessenen Datenschutzniveau unterliegen. Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind.

Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden.

Zwar enthält die Safe-Harbor-Vereinbarung eine Regelung, die die Geltung der Grundsätze des "sicheren Hafens" begrenzt, sofern es die nationale Sicherheit erfordert oder Gesetze solche Ermächtigungen vorsehen. Im Hinblick auf das Ziel eines wirksamen Schutzes der Privatsphäre soll jedoch von diesen Eingriffsbefugnissen nur im Rahmen des tatsächlich Erforderlichen und nicht exzessiv Gebrauch gemacht werden. Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden. Auch bei Datenübermittlungen in die USA aufgrund der Standardverträge muss der Datenimporteur zusichern, dass seines Wissens in seinem Land keine Rechtsvorschriften bestehen, die die Garantien aus den Klauseln in gravierender Weise beeinträchtigen. Eine solche Generalermächtigung scheint in den USA zu bestehen; denn nur so lässt sich erklären, dass der US-amerikanische Geheimdienst auf personenbezogene Daten, die aufgrund der Standardverträge übermittelt werden, mit hoher Wahrscheinlichkeit routinemäßig zugreift.

Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (z. B. auch zur Nutzung bestimmter Cloud Computing-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.

Lesen Sie zum Thema "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)

Schließlich fordert die Konferenz die Europäische Kommission auf, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

Die diesjährige Vorsitzende der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Dr. Imke Sommer, sagte hierzu: "Wirtschaftsunternehmen, die personenbezogene Daten in die USA übermitteln, tragen für diese Daten die Verantwortung. Wie alle Menschen in Deutschland müssen auch sie deshalb ein Interesse daran haben, dass personenbezogene Datenflüsse von Geheimdiensten nicht im großen Stil anlasslos überwacht werden." (BfDI: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Datenschutz versehentlich oder mutwillig ignoriert

    Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt - und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.

  • KI datenschutzkonform einsetzen

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) legt eine Orientierungshilfe mit datenschutz-rechtlichen Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.

  • Möglichkeit von Geldbußen gegenüber Behörden

    Die Bundesregierung hat im Februar 2024 einen Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) vorgelegt (BT-Drs. 20/10859). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu relevanten Punkten des Gesetzentwurfs und zu weitergehendem Regelungsbedarf Stellung genommen.

  • Internet-Nutzer dürfen nicht geschröpft werden

    In einem weiteren offenen Brief wendete sich die Deutsche Vereinigung für Datenschutz e.V. (DVD) gemeinsam mit zwölf Bürgerrechtsorganisationen am 07.03.2024 erneut an die Datenschutzaufsichtsbehörden in der Europäischen Union, um zu verhindern, dass eine datenschutzfreundliche Nutzung des Internets nur noch gegen Bezahlen hoher Gebühren möglich ist.

  • Einstieg in eine anlasslose Massenüberwachung

    Die Verhandlungen zum EU-Verordnungsentwurf zur Bekämpfung des sexuellen Online-Kindesmissbrauchs (CSA-Verordnung) sind in eine entscheidenden Phase. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) haben anlässlich dessen in einer Gemeinsamen Stellungnahme den EU-Gesetzgeber dazu aufgerufen, die wesentlichen Änderungsvorschläge des Europäischen Parlaments (EP) zu unterstützen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen