Grundsätzlich dürfen personenbezogene Daten nur in Länder außerhalb der EU/ des EWR übermittelt werden, wenn in dem Empfängerland ein angemessenes Datenschutzniveau besteht.

Das Vorliegen eines solchen angemessenen Datenschutzniveaus wird durch die EU attestiert.

Für die USA gibt es eine Sonderregelung, das sogenannte Safe-Harbor-Abkommen. US-Unternehmen ist es möglich, dem Safe Harbor-Abkommen beitreten. Hierzu müssen sie sich verpflichten, die Safe Harbor Principles sowie die verbindlichen Frequently Asked Questions zu beachten. Ist dieses erfolgt, können sie sich in die Liste des US-Handelsministeriums eintragen lassen.

Das Center for Digital Democracy (CDD) hat nunmehr bei der Handelsbehörde FTC eine Beschwerde gegen 30 Unternehmen eingereicht, die auf den Safe-Harbor-Listen aufgeführt sind, tatsächlich aber die Regeln des Safe-Harbour-Abkommens nicht einhalten sollen. Sie stehen in Verdacht personenbezogene Daten für unerlaubte Zwecke zu benutzen.

Nach Aussage der CDD besteht der Verdacht, dass die Unternehmen an Profiling und Online-Targeting-Aktionen beteiligt sind. Hierbei würden Mengen personenbezogener Daten analysiert und mit externen Datenquellen kombinieren, um die profitabelsten Kunden für personalisierte Werbung zu identifizieren. Insgesamt kritisiert die CDD

  • die fehlende Transparenz über bestehende und eingesetzte Datenerhebungsprozesse, bestehende Netzwerke zu Datenverarbeitern und deren Unternehmenszugehörigkeit,
  • das Fehlen von Opt-out-Möglichkeiten,
  • den Mythos von Anonymität,
  • die unzutreffende Aussage mehrerer Unternehmen als Auftragsdatenverarbeiter zu agieren, obwohl sie in Wirklichkeit eine zentrale Funktion bekleiden.

Zu den 30 Unternehmen gehören unter anderem Adobe, AOL, BlueKai, Merkle, Salesforce.com und Xaxis.

Den Bericht der CDD finden Sie hier.