Das „Safe Harbor Abkommen“ war eine zwischen der EU und den USA getroffene Vereinbarung, die es ermöglichen soll, Datenübermittlungen in die USA sicher vorzunehmen. Hintergrund sind die datenschutzrechtlichen Regelungen zur Übermittlung von personenbezogenen Daten in das Ausland. Ohne eine allgemeine Vereinbarung ist eine Übermittlung von Daten in die USA massiv erschwert. Der nächste Anlauf war der sogenannte „Privacy Shield„, der ebenfalls vom EUGH für ungültig erklärt wurde.
Im Folgenden finden Sie, zu Dokumentationszwecken, Ausführungen zu Safe Harbor, die Thematik ist insgesamt inzwischen überholt.
Die Bundesdatenschutzbeauftragte fasste dies so zusammen:
Um den Datenaustausch zwischen der EU und einem ihrer wichtigsten Handelspartner nicht zum Erliegen zu bringen, wurde deshalb nach einem Weg gesucht, wie Daten legal in die USA transferiert werden, auch wenn dort kein dem Niveau der EU vergleichbarer Datenschutzstandard vorliegt. Zur Überbrückung der Systemunterschiede wurde das Safe-Harbor-Modell entwickelt. Nachdem das US-Handelsministerium (Department of Commerce (Doc)) am 21. Juli 2000 die unten aufgeführten 7 Prinzipien und Antworten auf 15 häufig gestellte Fragen (Frequently Asked Questions (FAQ)) veröffentlicht hatte, erließ die Europäische Kommission am 26. Oktober 2000 eine Entscheidung, nach der in den USA tätige Organisation über ein angemessenes Datenschutzniveau verfügen, wenn sie sich gegenüber der Federal Trade Commission (FTC) öffentlich und unmissverständlich zur Einhaltung der Prinzipien und der in den 15 häufig gestellten Fragen enthaltenen Hinweise verpflichten.
Rechtliche Grundlagen
Entsprechend der Richtlinie 95/46/EG (Datenschutzrichtlinie) gilt mit Art. 25 und 26 dass ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Da die USA als solcher Drittstaat ausserhalb der EU gelten musste ein System her, um Datenübermittlungen zu ermöglichen. Die EU-Kommission veröffentlichte daher Prinzipien, die zur Prüfung gegebenüber der US-Behörde FTC herhalten müssen. Die Idee ist dann, dass an Hand dieser Prinzipien eine Zertifizierung bei der US-Behörde FTC stattfindet und entsprechend zertifizierte Unternehmen dann Datenübermittlungen vornehmen können, da das Datenschutzniveau als gewährleistet gilt:
- Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.
- Wahlmöglichkeit: die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
- Weitergabe: wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren.
- Zugangsrecht: die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, ergänzen oder löschen können.
- Sicherheit: die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
- Datenintegrität: die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
- Durchsetzung: die dem Safe Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt.
Erste Kritik an Safe-Harbor
Zu Beginn gab es Kritik an dem Vorgehen, weil man Sorge hatte bzw. haben musste, dass die FTC zwar einerseits die Zertifizierung vornimmt, andererseits bei Verstößen aber nicht ernsthaft durchgreift. Das änderte sich aber mit der Zeit, die FTC machte deutlich, die Vereinbarung ernst zu nehmen und bei Verstößen auch durchzugreifen (dazu hier).
Die Kritik der Datenschützer blieb aber, wie etwa eine Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 18. und 19. März 2015 deutlich macht, die konstatierte „Safe Harbor bietet keinen ausreichenden Schutz für den Datentransfer in die USA„.
Neuverhandlungen
Angesichts der durchaus erheblichen Kritik von Datenschützern begann man im Jahr 2013 mit Neuverhandlungen, die das gesamte Verfahren effektiver und auch ernsthafter ausgestalten sollten. Diese laufen derzeit – gewohnt intransparent – weder zum Fortschritt noch zum Sachstand sind mit Informationen bekannt.
Zweite Kritik an Safe-Harbor
Massiv verstärkt wurde die Kritik später wegen der Zugriffsrechte von US-Behörden. Dies bereits weil mit dem US-Patriot-Act kein ernsthafter Schutz von Daten gewährleistet sein kann (jedenfalls vor einschlägigen US-Behörden). Spätestens seit den Snowden-Enthüllungen kann man innerhalb der USA – aber auch ausserhalb… – kaum mehr ernsthaft von einem Datenschutzniveau sprechen, dass auch nur annähern mit europäischem vergleichbar ist.
Das Verfahren des EUGH
Im Zeuge eines beim EUGH (C-362/14) anhängigen Verfahrens hatte durchaus überraschend der Generalanwalt beim EUGH die Meinung geäußert, dass das Safe-Harbor-Abkommen insbesamt unwirksam ist, u.a. weil wegen der Zugriffsberechtigungen auf Daten eine Verletzung in die durch die Grundrechtecharte der EU garantierten Rechte vorliegt. Am 6. Oktober 2015 stand die Entscheidung des EUGH in dieser Frage an, der dann tatsächlich entschieden hat, dass die Entscheidung der Kommission ungültig ist.
Weiterführende Links zu Safe Harbor
Ich empfehle die Beiträge auf CR-Online zum Thema, zu finden hier: Teil 1, Teil 2 und Teil 3.
- Wirtschaftsspionage - 15. September 2024
- Das „Verschwindenlassen von Personen“ als neuer Straftatbestand - 15. September 2024
- Völkerrechtliche Immunität und geheimdienstliche Agententätigkeit - 14. September 2024