Datenwanderung

Inhaltsverzeichnis

Haben Sie schon einmal versucht, sich mit Ihren über die deutschen Seiten erworbenen Passwörtern auch bei den amerikanischen oder englischen Seiten internationaler Unternehmen anzumelden? Sie werden erstaunt sein - es funktioniert. So kann man sich mit den Zugangsdaten von amazon.de oder ebay.de problemlos auch auf den .com- oder .co.uk-Seiten der Unternehmen einloggen. Was auf den ersten Blick wie reine Kundenfreundlichkeit wirkt, wirft allerdings eine ganze Reihe von datenschutzrechtlichen Fragen auf.

Wieso kennt die amerikanische Zentrale von Amazon personenbezogenen Daten von Nutzern, obwohl sich diese in Deutschland bei einem deutschen Unternehmen, der Amazon.de GmbH, angemeldet haben? Die Datenschutzhinweise von amazon.de schweigen sich dazu weitgehend aus. Dort ist lediglich zu lesen, dass Amazon.de persönlichen Daten nicht ”Dritten außerhalb der Amazon.com-Unternehmensgruppe zur Nutzung zur Verfügung“ stelle. Zum ”Zwecke der Verbesserung des Kundenservices oder aus technischen Gründen“ könnten Daten jedoch innerhalb der Amazon-Gruppe weitergegeben werden. Nun, dem Kundenservice bezüglich der Bestellungen auf der deutschen Website dient eine Weitergabe sicher nicht. Ebenso wenig interessiert den deutschen Besteller der Kundenservice der französischen Amazon-Tochter. Auch zwingende technische Gründe sind nicht ersichtlich.

In sicheren Häfen?

Die Übermittlung von personenbezogenen Daten in Drittländer ist rechtlich aufgrund des dort herrschenden abweichenden Datenschutzstandards nicht ohne Tücken. Als uneingeschränkt vertrauenswürdig gelten bislang nur die EU-Mitgliedsstaaten sowie eine Reihe weiterer Länder wie die Schweiz, Ungarn, Norwegen und Kanada. In diesen Ländern ist ein ausreichender, mit dem EU-Datenschutzrecht vergleichbarer Schutz personenbezogener Daten gewährleistet.

Von jeher problematisch, aber eben auch praxisrelevant war die Weitergabe von Daten in die USA, die über keinen entsprechenden Schutzstandard verfügen und nicht einmal ein nationales Datenschutzgesetz kennen. Aus diesem Grund schloss die EU mit der amerikanischen Regierung Ende 2000 ein Abkommen, dass auf dem Prinzip des ”Safe Harbour“ (SHP) beruht. Danach ist es US-Unternehmen erlaubt, sich selbst ein Zertifikat auszustellen und sich somit als unbedenklicher ”sicherer Hafen“ auszuzeichnen. Die US-Aufsichtsbehörde FTC (Federal Trade Commission) soll nach diesen Regeln nur solche Verstöße ahnden, in denen Missbrauch von Daten nachgewiesen werden konnte. Die SHP beinhalten Kriterien, die eine Übereinstimmung mit der EU-Datenschutzrichtlinie gewährleisten sollen und bieten US-Unternehmen die Basis für das Interagieren mit Mitgliedsstaaten der EU.

Kaum waren die Regeln nach einer Übergangszeit von einem Jahr umgesetzt, veränderten die Anschläge vom 11. September 2001 die politische Landschaft sowie die Grundsätze des Datenschutzes in den USA dramatisch. Vorrang vor dem Schutz der Daten Einzelner hatte von nun an die ”öffentliche Sicherheit“ und die Abwehr von Terrormaßnahmen.

Deutlich sichtbar wurde die Kehrtwende mit dem Erlass des 340 Seiten starken Patriot Act (”Provide Appropriate Tools Required to Intercept and Obstruct Terrorism“) bereits sechs Wochen nach den Anschlägen. Dieses Gesetz sieht eine weitgehende Einschränkung der Bürgerrechte zugunsten staatlicher Überwachung vor. Seit seiner Verabschiedung warnen Datenschutzorganisationen vor der jetzt technisch und juristisch möglichen Realisierung einer totalen Überwachungsgesellschaft und einer weiteren Erosion des Schutzes der Privatsphäre.

So dürfen staatliche Stellen nun im Namen der Terrorabwehr von allen Unternehmen und Institutionen - etwa Banken, Krankenhäusern oder Kreditkartenfirmen - Auskunft darüber verlangen, was ihre Kunden tun. Dafür brauchen die Behörden nicht einmal einen offiziellen Durchsuchungsbefehl oder einen handfesten, belegbaren Tatverdacht. Vielmehr reicht allein die Anschuldigung, in terroristische Aktionen irgendwie verwickelt zu sein. Ausgestellt wird die Erlaubnis zur Einsicht in fremde Daten dann von einem geheimen Bundesgericht. Dessen Beschlüsse sind selbstverständlich auch nicht vor anderen Gerichten anfechtbar.

Besonders pikant: Die Regelungen gelten ebenfalls für Internetanbieter und für den Verkauf von Büchern, also gerade auch für internationale Unternehmen mit Sitz in den USA wie Amazon oder eBay. Käufer von Analysen des islamischen Terrorismus können sich infolgedessen ebenso im Visier amerikanischer Fahnder finden wie Besteller einer Biografie über Bin Laden. Denn staatliche Stellen dürfen uneingeschränkt Einsicht nehmen in die Kundenunterlagen von Buchläden oder Büchereien. Wer von solchen Durchsuchungsmaßnahmen betroffen ist, ist seinerseits gesetzlich verpflichtet, über die Aktionen Stillschweigen zu wahren und insbesondere die betroffenen Kunden nicht zu informieren. Wie viele und welche Unternehmen auf diese Weise Daten herausgeben mussten, ist, man ahnt es schon, ebenfalls geheim.

”Keinerlei Beschwerden“

Auf Basis dieser Informationen fragte die iX bei der Amazon.de GmbH in München nach, wie man dort mit diesem Thema umgeht. Konkret wollten wir wissen, ob die US-Muttergesellschaft der deutschen GmbH von den Kundendaten und -bestellungen Kenntnis hat und wie man dort sicherstellt, dass unbefugte Dritte, wie die amerikanischen Behörden es in so einem Fall nun einmal sind, der Zugriff auf diese Daten verwehrt wird. Neben den zur Abrechnung notwendigen Daten wie Adresse und Bestellungen speichert Amazon schließlich auch Daten über die Vorlieben der Nutzer, etwa die Bücher, die dieser sich in dem Angebot näher angesehen hat. Dadurch werden die Daten des Unternehmens potenziell zu einem begehrten Ziel von Strafverfolgungsbehörden auf Terroristenjagd.

Das Unternehmen führt in seiner Antwort aus, dass Amazon ”von jeher zu Gunsten der Privatsphäre der Kunden“ handle und versichert, dass Kundendaten ”in höchstem Maße geschützt“ seien. Nach dort vertretener Auffassung ändere sich auch durch die neuen gesetzlichen Regelungen im Rahmen des Patriot Acts nichts an dem eigenen Umgang mit personenbezogenen Daten. In der Vergangenheit sei man bereits einige Male gegen unberechtigte Durchsuchungsbefehle vorgegangen und werde dies auch zukünftig im Sinne der Kunden tun, die sich diesbezüglich noch nie beschwert hätten. Eine konkrete Antwort erhielten wir nur auf die Frage, ob es möglich sei, bei Amazon.de anzugeben, dass Daten nicht an Amazon.com weitergegeben werden sollen: Dies sei nicht möglich, man könne nur den gesamten Account löschen.

Angesichts dieser eher unbefriedigenden Antworten fragten wir bei den Datenschutzbehörden nach und erbaten eine rechtliche Beurteilung. Zuständig für die Belange der Privatwirtschaft in Bayern ist als Aufsichtsbehörde die Regierung von Mittelfranken. Dort teilte man uns zu unserem Erstaunen mit, dass die Datenverarbeitung für die Website der Amazon.de GmbH komplett von einem Rechenzentrum in den USA abgewickelt werde. Dieses würde von dem Unternehmen als Dienstleister einer Auftragsdatenverarbeitung im Sinne des § 11 des Bundesdatenschutzgesetzes (BDSG) eingesetzt. Bedenken hinsichtlich dieser Praxis habe die Behörde jedoch nicht. Amazon.de habe mit dem Rechenzentrum eine Vertragsregelung nach dem Vorbild eines EU-Mustervertrages (www.datenschutz-berlin.de/doc/eu/kommission/standard271201.pdf) geschlossen. Dies entspreche der Regelung des § 4c BDSG für die Auftragsdatenverarbeitung, sodass mit Abschluss eines solchen Vertrages dem Datenschutz ausreichend Rechnung getragen werde.

Die genannten Vertragsstandardklauseln beruhen auf einer Entscheidung der EU-Kommission vom Dezember 2001 und beinhalten Mindestanforderungen des Datenschutzes für die ”Übermittlung personenbezogener Daten an Drittländer“. Ob das nur wenige Tage nach dem Erlass des Patriot Act verabschiedete Dokument den geänderten Rechtsverhältnissen in den USA jedoch bereits Rechnung trägt und mit diesen vereinbar ist, darf getrost bezweifelt werden. Und ob sich das FBI oder der amerikanische Geheimdienst von einem solchen Vertrag davon abhalten lassen, Zugriff auf Daten zu nehmen, die aus Sicht dieser Organe für die Verfolgung des internationalen Terrorismus notwendig sind, ist mehr als fraglich. Für die zuständige Datenschutzbehörde ist die Angelegenheit damit als ”rechtlich nicht zu beanstanden“ abgeschlossen.

Nur wenige Tage nach unseren Nachfragen fand sich auf den Seiten von Amazon.de eine aktualisierte Datenschutzerklärung. Erstmals informiert Amazon seine Kunden nun über über die Teilnahme des amerikanischen Mutterkonzerns am ”sicheren Hafen“ - allerdings ohne jegliche Erklärung. Interessant ist auch die detaillierte Auflistung der Daten, die das Unternehmen von seinen Kunden sammelt. Zum ersten Mal erfahren Kunden, dass sie bestimmte Informationen dem Unternehmen gar nicht geben müssen. Neu ist auch der Hinweis auf Anonymisierungswerkzeuge für Internetbesuche. Obwohl deren Benutzung laut Amazon das Einkaufserlebnis schmälert, ”möchten wir, dass Sie wissen, dass es diese Werkzeuge gibt“.

Die Weitergabe persönlicher Daten an Dritte wurde in der alten Datenschutzerklärung in ein paar Zeilen abgehandelt, Kernaussage ist: keine Weitergabe außerhalb der Unternehmensgruppe, es sei denn in anonymisierter Form zu statistischen Zwecken. In der neuen Version ist dieser Passus auf reichlich eine Druckseite angewachsen und beschreibt datailliert, welche Dienstleister, Partnerunternehmen und so weiter welche Daten zu welchem Zweck erhalten. Die potenzielle Weitergabe von Daten deutscher Kunden an amerikanische Behörden wird nicht angesprochen, in der Liste findet sich jedoch die folgende Erklärung: ”Wir geben Kundenkonten und persönliche Daten über Kunden bekannt, wenn wir hierzu gesetzlich verpflichtet sind (...)“.

Es bleibt ein mulmiges Gefühl. Die Tatsache, dass Daten aus einem Rechtsverhältnis zwischen einem deutschen Kunden mit einer deutschen GmbH uneingeschränkt und ohne wirksame rechtliche Kontrolle von amerikanischen Behörden eingesehen werden können, ist mit dem hiesigen Verständnis von Datenschutz jedenfalls schwer zu vereinbaren.

Fazit

Aufgrund des enormen Gefälles in der Qualität des Schutzes personenbezogener Daten zwischen Deutschland - beziehungsweise der EU - und den USA wird die Frage des Datentransfers zwischen diesen beiden Ländern zukünftig einigen Sprengstoff beinhalten. Fälle wie die oben genannten Beispiele oder jüngst der Beschluss der Weitergabe der Daten von Flugzeugpassagieren an amerikanische Behörden zeigen einen dringenden Handlungsbedarf. Nicht zuletzt aber zeigen diese Fälle, dass man sich gut überlegen sollte, in welche Hände man welche persönlichen Informationen gibt.

Joerg Heidrich
ist Justiziar des Heise Zeitschriften Verlages und Rechtsanwalt in Hannover. (ur)