Safe Harbor

Copyright © Shutterstock/Westermak

Was ist Safe Harbor?

Überblick und Allgemeines zum Safe-Harbor-Abkommen

Safe Harbor bezeichnet die vom 06.07.2000 bis zum 06.10.2015 bestehende Übereinkunft zwischen der Europäischen Union und dem Handelsministerium (Department of Commerce) der Vereinigten Staaten von Amerika. Demnach durften personenbezogene Daten ohne Genehmigung an die USA weitergeleitet werden.

Der Beschluss bezieht sich auf die Grundsätze des sogenannten sicheren Hafens, der ihm den Namen Safe Harbor verleiht. Es handelt sich um die Kommissionsentscheidung 2000/520/EG. Basis dieser Übereinkunft waren die Vorschriften der Artikel 25 und 26 der EU-Datenschutzrichtlinie.

Gemäß dieser Richtlinie ist es nicht gestattet, Daten in solche Drittstaaten zu transferieren, die über kein Datenschutzniveau verfügen, das mit dem Datenschutz nach EU-Recht vergleichbar wäre. Die USA haben kein vergleichbares Datenschutzrecht, da es dem Staat an ausführlichen gesetzlichen Datenschutzregeln fehlt, die den europäischen Ansprüchen genügen.

Doch findet sich im Absatz 6 des Artikels 25 der EU-Datenschutzrichtlinie eine Art Ausnahmeregelung, gemäß derer die Kommission der Europäischen Gemeinschaft eine Angemessenheit des Datenschutzes auch in Drittländern feststellen kann. Zu diesem Zwecke muss das Drittland bestimmte Anforderungen erfüllen.

Eine solche Feststellung traf die Europäische Kommission am 26. Juli 2000 im Rahmen des Adäquanzbeschlusses 2000/520/EG. Demnach gibt es nach den Richtlinien von Safe Harbor zertifizierte Unternehmen in den USA, deren Datenschutzniveau nach Artikel 25 Absatz 6 der Datenschutzrichtlinie 95/46 angemessen ist. Im Urteil C-362/14, besser bekannt als Schrems-Urteil, hob der EuGH das Abkommen zum 06.10.2015 wieder auf.

Inhalte der Safe-Harbor-Übereinkunft

Ziel der Übereinkunft war es, ein höheres Niveau beim Datenschutz der US-amerikanischen Unternehmen zu gewährleisten. Realisiert werden sollte dies durch eine Verpflichtung der Unternehmen auf die im Rahmen der Safe-Harbor-Vereinbarung festgelegten Grundsätze. Auf dieser Basis war eine Zertifizierung derjenigen US-Unternehmen möglich, die sich selbst verpflichteten und eine Meldung an die US-amerikanische Federal Trade Commission (kurz FTC) machten.

Damit schufen die Unternehmen selbst die rechtlichen Rahmenbedingungen für eine Übermittlung der personenbezogenen Daten aus EU-Staaten. Diese Übermittlung war unter gleichen Bedingungen möglich wie auch die Weiterleitung von Daten von Mitgliedern des Europäischen Wirtschaftsraums möglich ist.

Im Internet hatte das US-Handelsministerium (United States Department of Commerce, DOC) eine Liste veröffentlicht, in der derart zertifizierte Firmen einsehbar waren. Diese Liste trug die Bezeichnung U.S.-EU Safe Harbor List und wurde vom Trade Information Center herausgegeben.

Im Hinblick auf die Zertifizierungen und die Rechte und Pflichten der beteiligten Unternehmen gab es einen Beschluss der obersten Aufsichtsbehörden für den nicht-öffentlichen Bereich. In diesem Beschluss vom 28. und 29. April 2010 ist festgelegt, dass Selbstzertifizierungen nach Safe-Harbor-Richtlinien vorliegen müssen und gleichermaßen deren Grundsätze einzuhalten sind. Ebenso ist stets die Gültigkeit der Zertifizierung eines Importeurs zu klären.

Der Beschluss regelt auch die Informationspflichten des Importeurs gegenüber denjenigen, die von der Datenübermittlung betroffen sind. Zu diesen Informationspflichten zählen mehrere Kategorien. Zum einen müssen importierende Unternehmen betroffene Privatpersonen genau darüber informieren, mit welchem Zweck die Daten erhoben und verwendet werden.

Ebenso haben die Unternehmen die Betroffenen darüber aufzuklären, wen sie sich im Falle von Rückfragen oder Beschwerden wenden können. Ebenso gehört es zur Informationspflicht, Betroffene darüber zu informieren, welche Rechtsmittel und Wege Dritte ihnen zur Verfügung stellen, damit sie die Nutzung und Weiterleitung der Daten verhindern können.

Entsprechende Angaben sind den Betroffenen bereits im Rahmen der ersten Datenerhebung beziehungsweise unmittelbar danach deutlich zu machen. Ebenso sind Betroffene vor eine Zweckänderung der Datennutzung oder vor einer Übermittlung und Weiterleitung der Datennutzung aufzuklären.

EuGH-Urteil zur Aufhebung des Safe-Harbor-Abkommens

Ausschlaggebend für das Urteil war die Beschwerde von Maximilian Schrems, ein österreichischer Jurist und Facebook-Nutzer. Schrems legte bei der irischen Datenschutzbehörde eine Beschwerde ein, da er keinen ausreichenden Schutz für seine von Facebook Irland an die US-amerikanischen Server weitergeleiteten Daten sah. Insbesondere in Anbetracht von Edward Snowdens Enthüllungen zur Arbeit der US-Geheimdienste sah Schrems ein Problem bei dieser Art von Datenübermittlung.

Nachdem die irische Datenschutzbehörde die Beschwerde zunächst unter Verweis auf die rechtsverbindliche Safe-Harbor-Entscheidung der EU-Kommission zurückwies, wurde der irische High Court mit dem Fall beauftragt. Dieser leitete die Frage an den EuGH weiter, ob Safe Harbor die nationalen Datenschutzbehörden davon abhält, entsprechende Beschwerden unabhängig zu überprüfen. Der EuGH kam zu dem Schluss, dass dem nicht so ist.

Er stellte fest, dass nationale Datenschutzbehörden in absoluter Unabhängigkeit überprüfen dürfen, ob der Umgang mit den Daten das Grundrecht auf Datenschutz gemäß Artikel 8 der EU-Grundrechtecharta nicht verletzt. Die entsprechenden Anforderungen zum Schutz dieses Grundrechts sind in der Datenschutzrichtlinie 95/46/EG geregelt.

Davon abgesehen gilt das Safe-Harbor-Abkommen mit diesem Urteil selbst als nichtig. Die Kommission habe nicht ausreichend begründet, dass es sich in den USA auf Basis der nationalen Richtlinien oder aufgrund internationaler Verpflichtungen um ein mit den EU-Vorgaben vergleichbares Datenschutzniveau handele.

Folge des EuGH-Urteils und Nachfolger

Im Zuge des Schrems-Urteils handelte die Europäische Kommission mit der US-Regierung ein Nachfolge-Abkommen aus. Ein Beschluss vom 12.07.2016 führte zur Anwendung des EU-US Privacy Shields. Der Durchführungsbeschluss der EU-Kommission unter dem Aktenzeichen C(2016) 4176 stellt die Angemessenheit des im Rahmen des EU-US-Datenschutzschildes gebotenen Schutzes fest.

Seit dem 01.08.2016 werden entsprechende Zertifizierungsanträge seitens US-Unternehmen durch das US-Handelsministerium angenommen. Mit der Zertifizierung geht die Verpflichtung einher, die Privacy Shield Principles einzuhalten.

Während ein großer Teil dieser Prinzipien bereits Bestandteil von Safe Harbor war, ist ein anderer Teil erweitert und verschärft worden. Insgesamt wachsen die Herausforderungen für die Unternehmen, die Daten empfangen und verarbeiten.

Gemäß der Verlautbarung der EU-Kommission umfasst das EU-US Privacy Shield strenge Auflagen für Unternehmen, die Daten europäischer Bürger verarbeiten, klare Schutzvorkehrungen und Transparenzpflicht im Falle des US-Regierungszugriffs auf die Daten sowie einen wirkungsvollen Schutz der EU-Bürger durch unterschiedliche Rechtsbehelfe.