Safe Harbor – kein “sicherer Hafen” für Datentransfer in die USA

Der Vorgänger von Privacy Shield wurde am 6. Oktober 2015 für nichtig erklärt.

Safe Harbor, zu Deutsch “sicherer Hafen”, ist ein Beschluss der Europäischen Kommission zum Datenschutzrecht aus dem Jahr 2000. In den Medien machte er auch unter der Bezeichnung Safe Harbor-Abkommen bzw. Safe Harbor-Pakt seine Runden. Das Abkommen sollte den Datentransfer zwischen der EU und den USA entsprechend der europäischen Datenschutzrichtlinien regeln.

Allerdings wurde die Entscheidung vom EuGH im Zuge des Schrems I-Urteils vom 6. Oktober 2015 für ungültig erklärt. Daraufhin trat eine Regelung namens EU-US Privacy Shield die Nachfolge an. Letztere wurde am 16. Juli 2020 ebenfalls für untauglich erklärt.

Quelle: eur-lex.europa.eu

Quelle: eur-lex.europa.eu

 

Wie kam es zu Safe Harbor?

Gemäß der Datenschutzrichtlinie 95/46/EG war es prinzipiell verboten, personenbezogene Daten aus der EU in die Staaten zu übertragen, sofern sie nicht ausreichend geschützt waren. Und dies war auch tatsächlich der Fall. Denn das US-amerikanische Recht umfasst keine gesetzlichen Regelungen, die den EU-Standards gleichkommen.

Damit also der Datenverkehr zwischen der EU und den USA nicht zum Erliegen kommt, entwickelte man zwischen 1998 und 2000 ein spezielles Verfahren. Laut diesem, konnten sich US-Unternehmen auf eine Liste des US-Handelsministeriums eintragen lassen, sofern sie sich bereit erklärten, die sog. Safe Harbor Principles zu befolgen. Daraufhin hatte die Europäische Kommission im Juli 2000 anerkannt, dass bei diesen Unternehmen ein ausreichender Schutz für personenbezogene Daten von EU-Bürgern gewährleistet war.

Insgesamt sind circa 5500 US-amerikanische Unternehmen dem Abkommen beigetreten. Darunter waren: Microsoft, Amazon.com, Google, Facebook, IBM, General Motors, Hewlett-Packard oder etwa Dropbox.

Eigenes Safe Harbor für die Schweiz

An dieser Stelle bleibt anzumerken, dass auch zwischen der Schweiz und den USA ein separates Arrangement ausgearbeitet wurde. Das sog. U.S.-Swiss Safe Harbor Framework. Analog zum in der EU geltenden Abkommen, galt das Datenschutzniveau für personenbezogene Daten als gewährleistet.

Nichtsdestotrotz wurde auch dieses im Zuge des EuGH-Urteils vom 6. Oktober 2015 für ungültig erklärt.

Kritik am Datenschutzabkommen

Bereits im April 2010 hatte der Düsseldorfer Kreis erklärt, dass die Safe Harbor-Zertifizierung von US-amerikanischen Unternehmen nicht verlässlich wäre. Somit könnten sich Datenexporteure keinesfalls darauf verlassen. Daraufhin forderte man konkrete Mindeststandards sowie die Kontrolle durch Aufsichtsbehörden.

Zusätzlich kam ein weiterer Umstand beschwerend hinzu. Der USA PATRIOT Act sieht nämlich vor, dass die US-Sicherheitsbehörden auch ohne Benachrichtigung der Dateninhaber Zugriff auf personenbezogene Daten haben können. Woraufhin beispielsweise das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein verlauten ließ:

[Safe Harbor ist] das Papier nicht wert, auf dem es geschrieben steht.

Unmittelbar nach den Enthüllungen Edward Snowdens wurde die Europäische Kommission aufgefordert, Safe Harbor zu überprüfen und den Datentransfer in die USA bis zur Klärung zu verbieten. Hinzu kam, dass zwei Beschwerden gegen Facebook und Apple von der irischen Datenschutzbehörde nicht bearbeitet worden waren. Ebenso hat PRISM nichts an der Gültigkeit der Vereinbarung geändert. Der Datenexport in die USA war weiterhin an Empfängerunternehmen von der Safe Harbor-Liste gestattet.

Schließlich nahm sich die EU-Kommission einer Überprüfung von Safe Harbor an und stellte hiernach fest:

Im Lichte der Veröffentlichungen rund um PRISM scheint es, dass die Datenschutzerfordernisse durch das Safe Harbor-Abkommen nicht den europäischen Standards entsprechen.

Darauffolgend kündigte die EU-Justizkommissarin Viviane Reding am 6. September 2013 eine Reform des EU-Datenschutzes an. Laut dieser drohten Unternehmen Strafen von bis zu zwei Prozent des weltweiten Jahresumsatzes, sofern sie illegal Daten in die USA übermittelten. Im März 2014 stimmten die EU-Abgeordnete für eine Aussetzung von Safe Harbor mit 544 Ja-Stimmen, 78 Gegenstimmen sowie 60 Enthaltungen.

Max Schrems versetzt Safe Harbor den Todesstoß

Einen entgültigen Rückschlag erhielt das Abkommen im September 2015. Im Zuge des Schrems/Data Protection Commissioner-Verfahrens befand der Generalanwalt am EuGH Safe Harbor für ungültig. Zudem stellte er fest, dass die Kommission die Befugnisse der nationalen Kontrollbehörden nicht beschränken darf. Demnach darf ein EU-Mitgliedstaat entsprechende Maßnahmen ergreifen, sofern in einem Drittland “systemische Mängel festgestellt werden”.

Ebenso bemängelte der Generalanwalt die Tatsache, dass die USA Datensammlungen von EU-Bürgern erlauben, und dies

… in großem Umfang […], ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen.

Zudem würden amerikanische Geheimdienste “massiv und nicht zielgerichtet” Überwachung ausüben. Die US-amerikanischen Unternehmen mit einer entsprechenden Zertifizierung wären dazu verpflichtet sämtliche Regelungen zu missachten, sobald die US-amerikanischen Sicherheitsbehörden Daten von EU-Bürgern anfordern.

Nach mehrmonatigen Verhandlungen wurde am 12. Juli 2016 das Nachfolgeabkommen Privacy Shield von der Europäischen Kommission angenommen. Es galt vom 1. August 2016 bis 16. Juli 2020.

Erklär-Video – Max Schrems über Safe Harbor

Quellen: de.wikipedia.org