Safe Harbor

Was ist Safe Harbor?

Unter der Bezeichnung Safe Harbor (aus dem Englischen: sicherer Hafen) ist eine Übereinkunft zwischen den USA und der EU zur genehmigungsfreien Übermittlung personenbezogener Daten an die USA bekannt. Das Safe-Harbor-Abkommen wurde im Jahr 2000 getroffen und im Jahr 2015 im Zuge eines Urteils des EuropĂ€ischen Gerichtshofs (EuGH) wieder aufgelöst. Seinen Nachfolger findet Safe Harbor im EU-US Privacy Shield.

Überblick und Allgemeines zum Safe-Harbor-Abkommen

Safe Harbor bezeichnet die vom 06.07.2000 bis zum 06.10.2015 bestehende Übereinkunft zwischen der EuropĂ€ischen Union und dem Handelsministerium (Department of Commerce) der Vereinigten Staaten von Amerika. Demnach durften personenbezogene Daten ohne Genehmigung an die USA weitergeleitet werden. Der Beschluss bezieht sich auf die GrundsĂ€tze des so genannten sicheren Hafens, der ihm den Namen Safe Harbor verleiht. Es handelt sich um die Kommissionsentscheidung 2000/520/EG. Basis dieser Übereinkunft waren die Vorschriften der Artikel 25 und 26 der EU-Datenschutzrichtlinie.

GemĂ€ĂŸ dieser Richtlinie ist es nicht gestattet, Daten in solche Drittstaaten zu transferieren, die ĂŒber kein Datenschutzniveau verfĂŒgen, das mit dem Datenschutz nach EU-Recht vergleichbar wĂ€re. Die USA haben kein vergleichbares Datenschutzrecht, da es dem Staat an ausfĂŒhrlichen gesetzlichen Datenschutzregeln fehlt, die den europĂ€ischen AnsprĂŒchen genĂŒgen. Doch findet sich im Absatz 6 des Artikels 25 der EU-Datenschutzrichtlinie eine Art Ausnahmeregelung, gemĂ€ĂŸ derer die Kommission der EuropĂ€ischen Gemeinschaft eine Angemessenheit des Datenschutzes auch in DrittlĂ€ndern feststellen kann. Zu diesem Zwecke muss das Drittland bestimmte Anforderungen erfĂŒllen.

Eine solche Feststellung traf die EuropÀische Kommission am 26. Juli 2000 im Rahmen des AdÀquanzbeschlusses 2000/520/EG. Demnach gibt es nach den Richtlinien von Safe Harbor zertifizierte Unternehmen in den USA, deren Datenschutzniveau nach Artikel 25 Absatz 6 der Datenschutzrichtlinie 95/46 angemessen ist. Im Urteil C-362/14, besser bekannt als Schrems-Urteil, hob der EuGH das Abkommen zum 06.10.2015 wieder auf.

Inhalte der Safe-Harbor-Übereinkunft

Ziel der Übereinkunft war es, ein höheres Niveau beim Datenschutz der US-amerikanischen Unternehmen zu gewĂ€hrleisten. Realisiert werden sollte dies durch eine Verpflichtung der Unternehmen auf die im Rahmen der Safe-Harbor-Vereinbarung festgelegten GrundsĂ€tze. Auf dieser Basis war eine Zertifizierung derjenigen US-Unternehmen möglich, die sich selbst verpflichteten und eine Meldung an die US-amerikanische Federal Trade Commission (kurz FTC) machten.

Tipp

Wenn Sie noch Fragen bezĂŒglich Datenschutz haben, dann können Sie gerne den jeweiligen Glossar dazu besuchen und sich ĂŒber das Thema informieren.

Damit schufen die Unternehmen selbst die rechtlichen Rahmenbedingungen fĂŒr eine Übermittlung der personenbezogenen Daten aus EU-Staaten. Diese Übermittlung war unter gleichen Bedingungen möglich wie auch die Weiterleitung von Daten von Mitgliedern des EuropĂ€ischen Wirtschaftsraums möglich ist. Im Internet hatte das US-Handelsministerium (United States Department of Commerce, DOC) eine Liste veröffentlicht, in der derart zertifizierte Firmen einsehbar waren. Diese Liste trug die Bezeichnung U.S.-EU Safe Harbor List und wurde vom Trade Information Center herausgegeben.

Im Hinblick auf die Zertifizierungen und die Rechte und Pflichten der beteiligten Unternehmen gab es einen Beschluss der obersten Aufsichtsbehörden fĂŒr den nicht-öffentlichen Bereich. In diesem Beschluss vom 28. und 29. April 2010 ist festgelegt, dass Selbstzertifizierungen nach Safe-Harbor-Richtlinien vorliegen mĂŒssen und gleichermaßen deren GrundsĂ€tze einzuhalten sind. Ebenso ist stets die GĂŒltigkeit der Zertifizierung eines Importeurs zu klĂ€ren.

Der Beschluss regelt auch die Informationspflichten des Importeurs gegenĂŒber denjenigen, die von der DatenĂŒbermittlung betroffen sind. Zu diesen Informationspflichten zĂ€hlen mehrere Kategorien. Zum einen mĂŒssen importierende Unternehmen betroffene Privatpersonen genau darĂŒber informieren, mit welchem Zweck die Daten erhoben und verwendet werden. Ebenso haben die Unternehmen die Betroffenen darĂŒber aufzuklĂ€ren, wen sie sich im Falle von RĂŒckfragen oder Beschwerden wenden können. Ebenso gehört es zur Informationspflicht, Betroffene darĂŒber zu informieren, welche Rechtsmittel und Wege Dritte ihnen zur VerfĂŒgung stellen, damit sie die Nutzung und Weiterleitung der Daten verhindern können.

Entsprechende Angaben sind den Betroffenen bereits im Rahmen der ersten Datenerhebung beziehungsweise unmittelbar danach deutlich zu machen. Ebenso sind Betroffene vor eine ZweckĂ€nderung der Datennutzung oder vor einer Übermittlung und Weiterleitung der Datennutzung aufzuklĂ€ren.

EuGH-Urteil zur Aufhebung des Safe-Harbor-Abkommens

Ausschlaggebend fĂŒr das Urteil war die Beschwerde von Maximilian Schrems, ein österreichischer Jurist und Facebook-Nutzer. Schrems legte bei der irischen Datenschutzbehörde eine Beschwerde ein, da er keinen ausreichenden Schutz fĂŒr seine von Facebook Irland an die US-amerikanischen Server weitergeleiteten Daten sah. Insbesondere in Anbetracht von Edward Snowdens EnthĂŒllungen zur Arbeit der US-Geheimdienste sah Schrems ein Problem bei dieser Art von DatenĂŒbermittlung.

Nachdem die irische Datenschutzbehörde die Beschwerde zunĂ€chst unter Verweis auf die rechtsverbindliche Safe-Harbor-Entscheidung der EU-Kommission zurĂŒckwies, wurde der irische High Court mit dem Fall beauftragt. Dieser leitete die Frage an den EuGH weiter, ob Safe Harbor die nationalen Datenschutzbehörden davon abhĂ€lt, entsprechende Beschwerden unabhĂ€ngig zu ĂŒberprĂŒfen. Der EuGH kam zu dem Schluss, dass dem nicht so ist. Er stellte fest, dass nationale Datenschutzbehörden in absoluter UnabhĂ€ngigkeit ĂŒberprĂŒfen dĂŒrfen, ob der Umgang mit den Daten das Grundrecht auf Datenschutz gemĂ€ĂŸ Artikel 8 der EU-Grundrechtecharta nicht verletzt. Die entsprechenden Anforderungen zum Schutz dieses Grundrechts sind in der Datenschutzrichtlinie 95/46/EG geregelt.

Davon abgesehen gilt das Safe-Harbor-Abkommen mit diesem Urteil selbst als nichtig. Die Kommission habe nicht ausreichend begrĂŒndet, dass es sich in den USA auf Basis der nationalen Richtlinien oder aufgrund internationaler Verpflichtungen um ein mit den EU-Vorgaben vergleichbares Datenschutzniveau handele.

Folge des EuGH-Urteils und Nachfolger

Im Zuge des Schrems-Urteils handelte die EuropĂ€ische Kommission mit der US-Regierung ein Nachfolge-Abkommen aus. Ein Beschluss vom 12.07.2016 fĂŒhrte zur Anwendung des EU-US Privacy Shields. Der DurchfĂŒhrungsbeschluss der EU-Kommission unter dem Aktenzeichen C(2016) 4176 stellt die Angemessenheit des im Rahmen des EU-US-Datenschutzschildes gebotenen Schutzes fest. Seit dem 01.08.2016 werden entsprechende ZertifizierungsantrĂ€ge seitens US-Unternehmen durch das US-Handelsministerium angenommen. Mit der Zertifizierung geht die Verpflichtung einher, die Privacy Shield Principles einzuhalten.

WĂ€hrend ein großer Teil dieser Prinzipien bereits Bestandteil von Safe Harbor war, ist ein anderer Teil erweitert und verschĂ€rft worden. Insgesamt wachsen die Herausforderungen fĂŒr die Unternehmen, die Daten empfangen und verarbeiten. GemĂ€ĂŸ der Verlautbarung der EU-Kommission umfasst das EU-US Privacy Shield strenge Auflagen fĂŒr Unternehmen, die Daten europĂ€ischer BĂŒrger verarbeiten, klare Schutzvorkehrungen und Transparenzpflicht im Falle des US-Regierungszugriffs auf die Daten sowie einen wirkungsvollen Schutz der EU-BĂŒrger durch unterschiedliche Rechtsbehelfe.

Tipp

Wenn Sie noch Fragen bezĂŒglich eines Online Marketing Themas haben, dann können Sie gerne unseren Glossar besuchen und sich ĂŒber das Thema informieren, wo Sie noch speziell Fragen haben.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte