Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU Lars Engelhardt
Definition Datenschutz/privacy Eigenständige Entwicklung vom Schutz der Privatsphäre (EMRK Art. 8) Richtlinie 95/46/EG Umsetzung in allen Mitgliedstaaten Privacy: Übersetzung ist nicht eindeutig: Privatsphäre, Intimsphäre, Ungestörtheit Kein eigenständiges Recht, nur Teil der Rechte zum Schutz der Privatsphäre Sehr allgemeine Rechte Datenschutz nur unzureichend Erklären, was ist eine Richtlinie Unterschiedliche Defintionen 30.01.2008 Lars Engelhardt
Datenschutz: Ein Vergleich! Richtlinie 95/46/EG zum Schutz personenbezogener Daten Harmonisierung der Gesetze in der EU Grundsätzliches Verbot der Verarbeitung personenbezogener Daten Einbeziehung nicht-öffentlicher Datenverarbeiter Sicherung und Kontrolle durch unabhängige Stellen Kein spezielles Datenschutzgesetz Privacy Act: Schutz vor hoheitlichen Eingriffen Patriot Act: Datenschutz kann außer Kraft gesetzt werden Kein geregelter Schutz im nicht- öffentlichen Bereich Flickenteppich aus nationalen und bundesstaatlichen Gesetzen 30.01.2008 Lars Engelhardt
Drittstaaten-Regelung in RL 95/46/EG Artikel 25 Absatz 1 erlaubt die Übermittlung in Drittstaaten, „wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.“ Angemessenheit des Schutzniveaus Art der Daten Zweckbestimmung Dauer der Verarbeitung Geltenden Rechtsnormen im Drittland Der Datenmissbrauch außerhalb der EU soll verhindert werden. Blau: Gesetz vorhanden Rot: In der Schwebe Weiss: Nicht vorhanden 30.01.2008 Lars Engelhardt
Safe-Harbor-Lösung (1) Die USA besitzen kein angemessenes Schutzniveau Lösung: Artikel 25 Absatz 5 und 6: „Die Kommission kann feststellen, dass ein Drittland […] ein angemessenes Schutzniveau gewährleistet.“ Safe-Harbor-Lösung 30.01.2008 Lars Engelhardt
Safe-Harbor-Lösung (2) Beschluss der EU-Kommission und des US-Handelsministerium 26. Juli 2000 Kern des Abkommens: „Grundsätze des sicheren Hafens“ und die 15 „FAQ‘s“ Quasi-Datenschutzerklärung von US-Unternehmen Bei Unklarheiten ist US-Recht heranzuziehen Sensitive Data (FAQ 1) Journalistic Exceptions (FAQ 2) Investment Banking and Audits (FAQ 4) Self-Certification (FAQ 6) Human Resources (FAQ 9) Pharmaceutical and Medical Products (FAQ 14) Hürden überwinden: 1. Drittstaatenregelung der EU 2. Verarleterte, Terrorbekämpfung USA 30.01.2008 Lars Engelhardt
Safe-Harbor-Lösung (3) Teilnahme an einem „Gütesiegelprogramm“ oder durch „Selbstzertifizierung“ 30.01.2008 Lars Engelhardt
Safe-Harbor-Lösung (4) Fazit: Notwendiges Konstrukt Lösung auf kleinstem Nenner Datenschutzniveau wurde verbessert Selbstzertifizierung leicht missbrauchbar US-Handelsaufsicht hat zu wenig rechtliche Macht EU-Behörden erhalten keinen Einblick 30.01.2008 Lars Engelhardt
Welches Recht gilt im Internet? Die Praxis (1) Welches Recht gilt im Internet? Tochterfirma Deutscher Kunde kauft bei amazon.com Deutscher Kunde kauft bei einem amerikan. Händler Deutscher Kunde kauft bei amazon.de Über einen Server in den USA Ein Produkt eines amerikanischen Händlers 30.01.2008 Lars Engelhardt
Deutsches Recht ist anzuwenden wenn: Die Praxis (2) Deutsches Recht ist anzuwenden wenn: Daten in Deutschland erhoben werden Hardware in Deutschland zur Erhebung genutzt wird (dazu zählen auch Leitungen) Daten durch Java-Applets, Active-X-Controls oder Cookies übertragen werden Ein Angebot auf deutsche Kunden zugeschnitten ist Deutsches Recht ist nicht anzuwenden wenn: Bei einem ausländischen Unternehmen bestellt wird, welches weder in Deutschland ansässig ist, noch hier Hardware betreibt Zu den zu schützenden Daten zählt nicht die IP, da ein Homepagebetreiber sich nicht gegen den Erhalt „wehren“ kann 30.01.2008 Lars Engelhardt
„Das Übermitteln personenbezogener Daten für die Die Praxis (3) §28 BDSG „Das Übermitteln personenbezogener Daten für die Erfüllung eigener Geschäftszwecke ist zulässig.“ Amazon.de-Datenschutzerklärung „Wir geben die Informationen, die wir erhalten,[…]weiter an Verbundene Unternehmen, die von Amazon.com, Inc. beherrscht werden und deren Tochtergesellschaften“ Datenschutzerklärung wiedersprechen => Kündigung account 30.01.2008 Lars Engelhardt
Unterschiedliche Rechtstraditionen Fazit Unterschiedliche Rechtstraditionen Probleme bei der Datenverarbeitung und –übermittlung Safe-Harbor-Lösung auch mit anderen Ländern denkbar Eine eindeutige Aussage über den Datenschutz ist nicht machbar, man kann nur erahnen, welche Rechtsbrüche begangen werden z.B. Nutzung der Daten von amazon.com zur Terrorbekämpfung Geltendes Recht, vor allem im Internet, für den Nutzer nicht immer sofort erkennbar Patriot Act, Frau am Flughafen verhaftet 30.01.2008 Lars Engelhardt
Vielen Dank für die Aufmerksamkeit! Fragen? Vielen Dank für die Aufmerksamkeit!