Safe Harbor-aftalen skulle gøre det muligt for amerikanske virksomheder at indsamle personoplysninger fra deres kunder. Data af EU-borgere. Formålet med aftalen var at opretholde den traditionelle databeskyttelse for EU-borgere, som ikke er garanteret i samme omfang i USA. Siden september 2015 har EU betragtet aftalen som ugyldig og har dermed sat en stopper for mere end 15 års praksis inden for databeskyttelseslovgivningen.
Safe Harbor: En sikker havn?
I september 2015 blev Safe Harbor-aftalen udsat for et stort tilbageslag. Generaladvokaten for EF-Domstolen - Yves Bot - kom frem til den afgørelse i sit forslag til afgørelse, at Safe Harbor-beslutningen hverken er gyldig eller bindende. Safe Harbor-aftalen stammer fra 2000 og hører under databeskyttelseslovgivningen. Europa-Kommissionens beslutning skulle gøre det muligt for virksomheder at overføre personoplysninger til USA, forudsat at de europæiske retningslinjer for databeskyttelse overholdes. Der er ikke tale om en "aftale" i egentlig forstand - men denne type procedure er dog aftalt med USA, så man kan tale om en slags "aftale". Den 6. oktober 2015 blev Safe Harbor-aftalen erklæret ugyldig af EF-Domstolen.
Historien om Safe Harbor-aftalen
Inden for EU forbyder databeskyttelsesdirektivet 95/46/EF overførsel af personoplysninger fra medlemsstater til andre stater, der ikke har databeskyttelseslove med tilsvarende beskyttelse. USA har næsten ingen lovbestemmelser på databeskyttelsesområdet, der er på højde med EU's standarder. De strenge EU-regler førte til praktiske problemer, og derfor indgik USA og EU en aftale i 2000. Overholdelse af databeskyttelsesdirektivet ville føre til en stilstand i datatrafikken, og derfor blev Safe Harbor-forordningen indført. Virksomheder fra USA kan lade sig registrere på en liste fra det amerikanske handelsministerium og dermed tilslutte sig Safe Harbor-ordningen. Ved at tiltræde erklærede de amerikanske virksomheder, at de var villige til at overholde aftalens principper og bestemmelser. De juridiske bestemmelser blev stort set suppleret af private bestemmelser på internationalt plan. Europa-Kommissionen anså det for bevist, at virksomhederne i det nyoprettede system yder tilstrækkelig beskyttelse af EU-borgerne og deres personlige oplysninger. Da den blev ophævet i september 2015, havde mange virksomheder tilsluttet sig aftalen. Blandt dem var General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox og Hewlett-Packard.
Populær kritik af Safe Harbor-aftalen
Safe Harbor-aftalen er blevet kritiseret igen og igen. Negative røster nægtede aftalen en tilstrækkelig beskyttende funktion. Man kunne ikke stole på de amerikanske virksomheders "ord", og derfor skulle der fremlægges beviser. Efter et par år blev den amerikanske Patriot Act indført: På grund af den nye retstilstand kunne de amerikanske sikkerhedsmyndigheder få adgang til alle data uden at skulle underrette dataejeren. Efter afsløringerne fra whistlebloweren Edward Snowden blev der i 2013 opfordret til en revision af systemet. I 2013 bebudede EU's kommissær for retlige anliggender, Viviane Reding, en reform af den europæiske databeskyttelse. Alle virksomheder skulle have en bøde på op til to procent af deres årlige omsætning, hvis de foretog ulovlig dataoverførsel.
EF-Domstolens dom fra september 2015
I september 2015 erklærede generaladvokaten for EF-Domstolen - Yves Bot - at Safe Harbor-aftalen ikke længere var gyldig og bindende. High Court of Ireland havde spurgt EF-Domstolen, om og i hvilket omfang Safe Harbor-forordningen finder anvendelse. Den pågældende sag vedrørte Facebooks overførsel af data til USA. I begrundelsen for dommen fastslog generaladvokaten, at EU ikke har beføjelse til at gribe ind i og begrænse medlemsstaternes beføjelser. Så snart overholdelsen af de grundlæggende rettigheder, der er fastsat i EU's charter, er i fare i en medlemsstat, skal det være muligt at handle i overensstemmelse hermed. Blandt de grundlæggende rettigheder er beskyttelsen af personoplysninger. I USA er EU-borgere forsvarsløst udsat for dataindsamlere, da USA tillader dataindsamling fra EU-borgere i betydeligt omfang. Samtidig er der ingen effektive muligheder for at søge domstolsprøvelse. De amerikanske efterretningstjenester er involveret i intensiv overvågning, som ikke er proportionel og giver mulighed for målrettet indblanding i databeskyttelsen. EF-Domstolen fulgte generaladvokatens begrundelse og beseglede dermed afslutningen på aftalen. I dommens konklusion blev der henvist til de amerikanske efterretningstjenester. Amerikanske virksomheder udsættes for disse undersøgelser og tvinges til at underminere alle beskyttelsesregler. Der findes derfor ikke nogen effektiv beskyttelse af personoplysninger. På den ene side krænkes den grundlæggende ret til respekt for privatlivets fred ved denne procedure, men på den anden side krænkes også retten til effektiv retsbeskyttelse i retten.
De tyske databeskyttelsesmyndigheders tilgang
Efter offentliggørelsen af EF-Domstolens dom handlede de tyske databeskyttelsesmyndigheder hurtigt. I et holdningspapir udarbejdet af databeskyttelseskommissærerne fra delstaterne og forbundsregeringen blev det præciseret, at overførsel af data er udelukket, hvis overførslen udelukkende er baseret på Safe Harbor-aftalen. Der vil ikke længere blive udstedt nye tilladelser på grundlag af aftalen. Desuden vil virksomhedsordninger og dataeksportaftaler ikke længere blive anerkendt. I Det Forenede Kongerige er det opfattelsen, at dataoverførsler stadig vil være mulige, hvis der er givet samtykke, eller hvis der er indgået EU-standardkontraktbestemmelser. Samtykket er efter de tyske databeskyttelseskommissærers opfattelse ikke tilstrækkeligt, da masseoverførsler og gentagne dataoverførsler ikke længere kan tillades i et sådant omfang.
Nye regler og henstillinger
På føderalt plan blev EF-Domstolens afgørelse hilst velkommen af den ansvarlige føderale databeskyttelseskommissær. I den nærmeste fremtid vil det blive undersøgt, om og i hvilket omfang dommen påvirker Binding Corporate Rules og EU's standardkontraktbestemmelser i Tyskland. Den 26.10.2015 blev forbundsregeringens og delstaternes holdningspapir offentliggjort. Tilsynsmyndighederne meddelte, at der ville blive truffet foranstaltninger mod enhver dataoverførsel, der er baseret på Safe Harbor. Siden dommen har det været helt klart, at en attestering i henhold til den tidligere aftale er helt uacceptabel. Virksomheder, der overfører personoplysninger til USA, risikerer en smertefuld bøde, og derfor bør tekster på hjemmesider, reklamemateriale og databeskyttelseserklæringer tilpasses hurtigst muligt. Desuden bør de nuværende dataoverførsler tages op til revision. Der bør redegøres for anvendelsen af bindende virksomhedsregler og EU's standardkontraktklausuler. De, der ikke kan undvære overførsel af data til USA, bør anvende EU's standardkontraktklausuler, hvormed risikoen for en bøde kan minimeres betydeligt, i hvert fald i de fleste tilfælde. Det er absolut nødvendigt, at krypteringsmetoderne afprøves og anvendes. Hvis der kan opnås samtykke, skal du kontakte DPC og spørge, om en sådan legitimering er tilladt i forbindelse med dataoverførsler. I tilfælde af et sådant samtykke skal det klart angives, at der vil finde en overførsel af data til USA sted. Desuden skal de mulige konsekvenser angives. Et sådant samtykke kan næppe gennemføres i tilfælde af permanente og massive dataoverførsler, f.eks. af kundeoplysninger. For at opnå den bedst mulige retsbeskyttelse bør de juridiske spørgsmål undersøges fra sag til sag. Tekniske og organisatoriske foranstaltninger kan reducere risikoen for lovovertrædelser betydeligt.