Safe Harbor-avtalet var avsett att göra det möjligt för amerikanska företag att samla in personuppgifter från sina kunder. Uppgifter av EU-medborgare. Avsikten med avtalet var att upprätthålla det traditionella dataskyddet för EU-medborgare, som inte garanteras i samma utsträckning i USA. Sedan september 2015 anses avtalet vara ogiltigt av Europeiska unionen, vilket innebär slutet på mer än 15 års praxis inom dataskyddslagstiftningen.
Safe Harbor: En säker hamn?
I september 2015 fick Safe Harbor-avtalet ett stort bakslag. Yves Bot, generaladvokat vid EG-domstolen, kom fram till beslutet i sitt yttrande att Safe Harbor-beslutet varken är giltigt eller bindande. Safe Harbor-avtalet är från år 2000 och hör till området dataskyddslagstiftning. Syftet med Europeiska kommissionens beslut var att tillåta företag att överföra personuppgifter till USA, förutsatt att de följer EU:s riktlinjer för dataskydd. Det finns inget "avtal" i egentlig mening, men detta slags förfarande har överenskommits med USA, så man kan tala om ett slags "avtal". Den 6 oktober 2015 förklarades Safe Harbor-avtalet ogiltigt av EG-domstolen.
Historien om Safe Harbor-avtalet
Inom Europeiska unionen förbjuder dataskyddsdirektivet 95/46/EG överföring av personuppgifter från medlemsstater till andra stater som inte har dataskyddslagar med liknande skydd. USA har knappast några rättsliga bestämmelser om dataskydd som är jämförbara med EU:s normer. EU:s stränga bestämmelser ledde till praktiska problem, och därför ingick USA och EU ett avtal år 2000. Att följa dataskyddsdirektivet skulle leda till att datatrafiken stannar upp, vilket är anledningen till att Safe Harbor-förordningen infördes. Företag från USA kan registrera sig på en lista från det amerikanska handelsdepartementet och därmed ansluta sig till Safe Harbor. Genom att ansluta sig förklarade de amerikanska företagen att de var villiga att följa avtalets principer och bestämmelser. De rättsliga bestämmelserna kompletterades praktiskt taget av privata bestämmelser på internationell nivå. Europeiska kommissionen ansåg att det är bevisat att företagen inom det nya systemet erbjuder ett tillräckligt skydd för EU-medborgarna och deras personuppgifter. När avtalet upphävdes i september 2015 hade många företag anslutit sig till det. Bland dem fanns General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox och Hewlett-Packard.
Populär kritik av Safe Harbor-avtalet
Safe Harbor-avtalet har kritiserats gång på gång. Negativa röster förnekade avtalet en tillräcklig skyddsfunktion. Man kunde inte förlita sig på amerikanska företags "ord", och därför måste man lägga fram bevis. Efter några år skapades den amerikanska Patriot Act: På grund av det nya rättsliga läget kunde amerikanska säkerhetsmyndigheter få tillgång till alla uppgifter utan att behöva meddela uppgiftsägaren. Efter avslöjandena från visselblåsaren Edward Snowden krävdes en översyn av systemet 2013. 2013 tillkännagav EU:s justitiekommissionär Viviane Reding en reform av det europeiska dataskyddet. Alla företag skulle bötfällas med upp till två procent av sin årsomsättning om de utförde en olaglig dataöverföring.
EG-domstolens dom i september 2015
I september 2015 förklarade EG-domstolens generaladvokat Yves Bot att Safe Harbor-avtalet inte längre var giltigt och bindande. High Court of Ireland hade frågat EG-domstolen om och i vilken utsträckning Safe Harbor-förordningen är tillämplig. Det aktuella fallet gällde Facebooks överföring av uppgifter till USA. I motiveringen till domen konstaterade generaladvokaten att Europeiska unionen inte har rätt att ingripa i och begränsa medlemsstaternas befogenheter. Så snart som respekten för de grundläggande rättigheter som garanteras i EU-stadgan äventyras i en medlemsstat måste det vara möjligt att agera i enlighet med detta. En av de grundläggande rättigheterna är skyddet av personuppgifter. I USA är EU-medborgare försvarslöst utsatta för datainsamlare, eftersom USA i stor utsträckning tillåter datainsamling från EU-medborgare. Samtidigt finns det inga effektiva möjligheter att söka rättslig prövning. De amerikanska underrättelsetjänsterna bedriver intensiv övervakning som inte är proportionerlig och som gör det möjligt att göra riktade ingrepp i uppgiftsskyddet. EG-domstolen följde generaladvokatens uttalanden och beseglade därmed slutet på avtalet. I domslutet hänvisades till de amerikanska underrättelsetjänsterna. Amerikanska företag utsätts för dessa undersökningar och tvingas underminera alla skyddsbestämmelser. Det finns därför inget effektivt skydd av personuppgifter. Å ena sidan kränks den grundläggande rätten till respekt för privatlivet genom detta förfarande, men å andra sidan kränks också rätten till ett effektivt rättsligt skydd i domstol.
De tyska dataskyddsmyndigheternas tillvägagångssätt
Efter offentliggörandet av EG-domstolens dom agerade de tyska dataskyddsmyndigheterna snabbt. I ett ställningstagande som utarbetats av dataskyddsombudsmännen i de federala delstaterna och den federala regeringen klargjordes det att överföringar av uppgifter är uteslutna om överföringen enbart grundar sig på Safe Harbor-avtalet. Nya tillstånd som bygger på avtalet kommer inte längre att utfärdas. Dessutom kommer företagsordningar och avtal om dataexport inte längre att erkännas. I Storbritannien anser man att det fortfarande kommer att vara möjligt att överföra uppgifter om samtycke har getts eller om det finns EU-standardkontraktsklausuler på plats. Samtycke är inte tillräckligt enligt de tyska dataskyddsombudsmännen, eftersom massöverföringar och upprepade uppgiftsöverföringar inte längre skulle kunna tillåtas i denna omfattning.
Nya bestämmelser och rekommendationer
På federal nivå välkomnades EG-domstolens beslut av den ansvariga federala dataskyddskommissionären. Inom en snar framtid kommer man att undersöka om och i vilken utsträckning domen påverkar bindande företagsregler och EU:s standardavtalsklausuler i Tyskland. Den 26.10.2015 publicerades förbundsregeringens och delstaternas ståndpunktsdokument. Tillsynsmyndigheterna meddelade att åtgärder skulle vidtas mot alla dataöverföringar som bygger på Safe Harbor. Sedan domen har det varit helt klart att intyg enligt det tidigare avtalet är helt otillåtligt. Företag som överför personuppgifter till USA riskerar att drabbas av höga böter, och därför bör texter på webbplatser, reklammaterial och dataskyddsdeklarationer anpassas så snabbt som möjligt. Dessutom bör nuvarande dataöverföringar ses över. Tillämpligheten av bindande företagsregler och EU:s standardavtalsklausuler bör förklaras. De som inte kan avstå från att överföra uppgifter till USA bör använda sig av EU:s standardavtalsklausuler, med vilka risken för böter kan minimeras avsevärt, åtminstone i de flesta fall. Det är absolut nödvändigt att testa och tillämpa krypteringsmetoder. Om samtycke kan erhållas bör kontakt tas med dataskyddsombudsmannen och man bör fråga om en sådan legitimering är tillåten vid överföring av uppgifter. Vid ett sådant samtycke måste det tydligt anges att en överföring av uppgifter till USA kommer att äga rum. Dessutom ska eventuella konsekvenser anges. Ett sådant samtycke kan knappast genomföras vid permanenta och omfattande dataöverföringar, t.ex. av kunduppgifter. För att uppnå bästa möjliga rättsskydd bör de rättsliga frågorna granskas från fall till fall. Tekniska och organisatoriska åtgärder kan avsevärt minska risken för lagöverträdelser.