Mit dem Safe Harbor-Abkommen sollte es amerikanischen Unternehmen ermöglicht werden personenbezogene Daten von EU-Bürgern zu nutzen. Durch das Abkommen sollte der herkömmliche Datenschutz für EU-Bürger aufrecht erhalten werden, der in den USA nicht im gleichen Umfang gewährleistet wird. Seit September 2015 wird das Abkommen von Seite der Europäischen Union als ungültig betrachtet, womit eine mehr als 15-jährige Praxis im Bereich des Datenschutzrechts endete.

Safe Harbor: Ein sicherer Hafen?

Im September 2015 erhielt das Safe Harbor-Abkommen einen herben Rückschlag. Der Generalanwalt des Europäischen Gerichtshofs – Yves Bot – kam in seinen Schlussanträgen zu der Entscheidung, dass die Safe Harbor-Entscheidung weder gültig noch bindend ist. Das Safe Harbor-Abkommen (zu deutsch: sicherer Hafen) stammt aus dem Jahr 2000 und ist dem Bereich des Datenschutzrechts zuzuordnen. Die Entscheidung der Europäischen Kommission sollte Unternehmen ermöglichen personenbezogene Daten in die USA zu übermitteln, sofern eine Übereinstimmung mit europäischen Datenschutzrichtlinien vorliegt. Ein „Abkommen“ im eigentlichen Sinne liegt nicht vor – allerdings wurde diese Art des Vorgehens mit den USA abgesprochen, sodass von einer Art „Abkommen“ gesprochen werden kann. Am 06.10.2015 ist das Safe Harbor-Abkommen vom EuGH (Europäischen Gerichtshof) für ungültig erklärt worden.

Die Geschichte des Safe Harbor-Abkommens

Innerhalb der Europäischen Union ist es aufgrund der Datenschutzrichtlinie 95/46/EG verboten personenbezogene Daten aus den Mitgliedsstaaten in andere Staaten zu übermitteln, in welchen kein Datenschutzrecht mit ähnlicher Schutzfunktion existiert. Die Vereinigten Staaten verfügen kaum über gesetzliche Regelungen im Bereich des Datenschutzes, welche sich auf dem Standard der Europäischen Union bewegen. Die strengen EU-Regelungen führten zu praktischen Problemen, weshalb die USA und die EU im Jahr 2000 ein Abkommen schlossen. Ein Festhalten an der Datenschutzrichtlinie würde zu einem Erliegen des Datenverkehrs führen, weshalb die Safe Harbor-Regelung erlassen wurde. Unternehmen aus den USA konnten sich in eine Liste des amerikanischen Handelsministeriums eintragen lassen und somit dem Safe Harbor beitreten. Durch den Beitritt erklärten sich die amerikanischen Unternehmen bereit die Prinzipien und Vorschriften des Abkommens einzuhalten. Die gesetzlichen Regelungen wurden auf internationaler Ebene quasi durch private Regelungen ergänzt. Die Europäische Kommission sah es als erwiesen an, dass Unternehmen innerhalb des neu geschaffenen Systems einen ausreichenden Schutz für EU-Bürger und deren personenbezogenen Daten bieten. Bis zur Aufhebung der Gültigkeit im September 2015 traten zahlreiche Unternehmen dem Abkommen bei. Darunter befanden sich General Motors, Amazon, Microsoft, IBM, Google, Facebook, Dropbox und Hewlett-Packard.

Populäre Kritiken am Safe Harbor-Abkommen

Das Safe Harbor-Abkommen wurde immer wieder kritisiert. Negative Stimmen sprachen dem Abkommen eine hinreichende Schutzfunktion ab. Man könnte sich nicht auf das „Wort“ von amerikanischen Unternehmen verlassen, weshalb Nachweise geführt werden müssten. Nach wenigen Jahren wurde der US Patriot Act geschaffen: Aufgrund der neuen Rechtslage konnten amerikanische Sicherheitsbehörden auf sämtliche Daten zugreifen, ohne den Dateninhaber benachrichtigen zu müssen. Nach den Enthüllungen des Whistleblowers Edward Snowden wurde im Jahr 2013 eine Überprüfung des Systems gefordert. Im Jahr 2013 kündigte EU-Justizkommissarin Viviane Reding eine Reform des europäischen Datenschutzes an. Sämtliche Unternehmen sollten mit einer Strafe von bis zu zwei Prozent ihres jährlichen Umsatzes belegt werden, sofern sie eine illegale Datenübermittlung durchführten.

Das Urteil des Europäischen Gerichtshofes im September 2015

Im September 2015 erklärte der Generalanwalt des Europäischen Gerichtshofes – Yves Bot – dass das Safe Harbor-Abkommen nicht mehr gültig und bindend sei. Der High Court von Irland hatte dem Europäischen Gerichtshof die Frage gestellt, ob und in welchem Umfang die Safe Harbor-Regelung gilt. Im vorliegenden Fall ging es um die Übermittlung von Daten durch Facebook in die USA. In der Urteilsbegründung führte der Generalanwalt aus, dass die Europäische Union nicht dazu ermächtigt sei in die Befugnisse der Mitgliedsstaaten einzugreifen und diese zu beschränken. Sobald in einem Mitgliedsstaat die Einhaltung der von der EU-Charta gewährten Grundrechte gefährdet seien, müsste entsprechend gehandelt werden können. Zu den Grundrechten zählt unter anderem der Schutz personenbezogener Daten. In den USA sind EU-Bürger schutzlos Datensammlern ausgesetzt, da die USA Datensammlungen von EU-Bürgern in einem erheblichen Umfang erlauben. Zeitgleich existieren keine wirksamen Möglichkeiten um einen gerichtlichen Rechtsschutz in Anspruch zu nehmen. Die amerikanischen Geheimdienste verfolgen eine intensive Überwachung, welche nicht verhältnismäßig ist und gezielte Eingriffe in den Datenschutz erlauben. Der Europäische Gerichtshof folgte den Ausführungen des Generalanwaltes und besiegelte damit das Ende des Abkommens. Im Urteilstenor wurde Bezug auf die amerikanischen Geheimdienste genommen. Amerikanische Unternehmen seien diesen bei Anfragen unterworfen und dazu gezwungen sämtliche Schutzregelungen auszuhebeln. Ein effektiver Schutz personenbezogener Daten existiert daher nicht. Durch dieses Vorgehen ist zum einen das Grundrecht auf Achtung des Privatlebens verletzt, zum anderen aber auch der Anspruch auf die Existenz eines wirksamen Rechtsschutzes vor Gericht.

Das Vorgehen der deutschen Datenschutzbehörden

Nach der Veröffentlichung des Urteils des Europäischen Gerichtshofes handelten die deutschen Datenschutzbehörden schnell. In einem Positionspapier, das von Datenschutzbeauftragten der Länder und des Bundes verfasst wurde, wurde klargestellt, dass Übermittlungen von Daten ausgeschlossen sind, soweit deren Übermittlung alleinig auf das Safe Harbor-Abkommen gestützt ist. Neue Genehmigungen auf der Grundlage des Abkommens werden nicht mehr ausgestellt. Außerdem werden Unternehmensregelungen und Datenexportverträge nicht mehr anerkannt. In Großbritannien wird die Auffassung vertreten, dass eine Datenübermittlung weiterhin möglich ist, sofern in diese eingewilligt wurde oder EU-Standardvertragsklauseln vorliegen. Eine Einwilligung reicht aus der Sicht der deutschen Datenschutzbeauftragten nicht aus, da massenhafte und wiederholte Datentransfers nicht mehr in einem solchen Umfang erlaubt werden könnten.

Neue Regelungen und Empfehlungen

Auf der Bundesebene wurde die Entscheidung des Europäischen Gerichtshofes von der zuständigen Bundesdatenschutzbeauftragten begrüßt. In naher Zukunft wird geprüft werden, ob und in welchem Umfang das Urteil in Deutschland auf Binding Corporate Rules und EU-Standardvertragsklauseln wirkt. Am 26.10.2015 wurde das Positionspapier von Bund und Ländern veröffentlicht. Die Aufsichtsbehörden kündigten an, dass gegen jede Datenübermittlung auf der Grundlage von Safe Harbor vorgegangen wird. Seit dem Urteilsspruch ist gänzlich klar, dass eine Zertifizierung durch das ehemalige Abkommen absolut unzulässig ist. Unternehmen, die personenbezogene Daten in die USA übermitteln, riskieren ein schmerzhaftes Bußgeld, weshalb Webseitentexte, Werbematerialien und Datenschutzerklärungen möglichst schnell angepasst werden sollten. Zusätzlich sollten die aktuellen Datentransfers überprüft werden. Die Anwendbarkeit von Binding Corporate Rules und EU Standardvertragsklauseln ist zu erklären. Wer auf die Übermittlung von Daten in die USA nicht verzichten kann, sollte auf EU Standardvertragsklauseln zurückgreifen, mit welchen das Risiko einer Geldbuße zumindest im Großteil der Fälle erheblich minimiert werden kann. Absolut notwendig ist, dass Verschlüsselungsmethoden geprüft und angewendet werden. Falls eine Einwilligung eingeholt werden kann, sollte Kontakt zum DSK gesucht und nachgefragt werden, ob eine solche Legitimation für Datentransfers zulässig ist. Bei einer entsprechenden Einwilligung muss klar hervorgehen, dass eine Datenübermittlung in die USA stattfindet. Außerdem müssen mögliche Konsequenzen aufgelistet werden. Eine solche Einwilligung kann bei dauerhaften und massenhaften Datentransfers, zum Beispiel bei Kundendaten, kaum umgesetzt werden. Um eine möglichst gute rechtliche Absicherung zu erreichen, sollten die Rechtsfragen im Einzelfall geprüft werden. Technische und organisatorische Maßnahmen können das Risiko von Rechtsverletzungen erheblich mindern.

 

Aktuelle Artikel