Safe Harbor

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Der Titel dieses Artikels ist mehrdeutig. Weitere Bedeutungen sind unter Safe Harbor (Begriffsklärung) aufgeführt.

Safe Harbor (englisch für „sicherer Hafen“, teilweise auch: Safe-Harbor-Abkommen, Safe-Harbor-Pakt) ist der Name einer Entscheidung der Europäischen Kommission auf dem Gebiet des Datenschutzrechts aus dem Jahr 2000, aufgrund deren es Unternehmen ermöglicht werden sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.[1] Die Bezeichnung als „Abkommen“ rührt daher, dass dieses Vorgehen mit den USA abgesprochen worden war. Die Safe-Harbor-Entscheidung ist vom Europäischen Gerichtshof (EuGH) am 6. Oktober 2015 für ungültig erklärt worden.[2][3] Am 2. Februar 2016 gab die Europäische Kommission bekannt, sie habe sich mit der amerikanischen Regierung auf eine Nachfolgeregelung geeinigt, die den Namen EU-US Privacy Shield trage.[4][5]

Unabhängig hiervon besteht eine ähnliche Vereinbarung der Vereinigten Staaten mit der Schweiz, die den gleichen Zweck in Bezug auf den Datenverkehr zwischen diesen beiden Staaten verfolgt (U.S.-Swiss Safe Harbor Framework).[6] Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sieht darin jedoch wegen des Urteils des EuGH mittlerweile keine ausreichende Grundlage für die Übermittlung von personenbezogenen Daten in die USA mehr[7] und hat den Bundesrat gebeten, die Vereinbarung aufzukündigen.[8]

Geschichte[Bearbeiten | Quelltext bearbeiten]

Die Datenschutzrichtlinie 95/46/EG verbietet es grundsätzlich, personenbezogene Daten aus Mitgliedstaaten der Europäischen Union in Staaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufweist. Dazu zählen auch die Vereinigten Staaten, denn das US-amerikanische Recht kennt keine umfassenden gesetzlichen Regelungen, die den Standards der EU insoweit entsprechen würden.

Damit der Datenverkehr zwischen der EU und den USA nicht zum Erliegen kommt, wurde zwischen 1998 und 2000 ein besonderes Verfahren entwickelt. US-Unternehmen können dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichten, die Safe Harbor Principles (englisch für „Grundsätze des sicheren Hafens“) und die dazugehörenden – verbindlichen – FAQ zu befolgen.

In der Safe-Harbor-Entscheidung[1] hatte die Europäische Kommission im Juli 2000 anerkannt, dass bei den Unternehmen, die diesem System beigetreten sind, ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern bestehe.

Bis September 2015 sind etwa 5500 amerikanische Unternehmen dem Safe-Harbor-Abkommen beigetreten,[9] darunter IBM, Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard, Dropbox und Facebook.

Am 2. Februar 2016 wurde bekanntgegeben, dass die Safe-Harbor-Entscheidung durch eine Vereinbarung der EU-Kommission mit der amerikanischen Regierung unter dem Namen EU-US Privacy Shield abgelöst werde.[4][5]

Kritik[Bearbeiten | Quelltext bearbeiten]

Der Düsseldorfer Kreis hatte bereits im April 2010 erklärt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürften, und forderte konkrete Mindeststandards, die gewährleistet und auf Nachfrage der Aufsichtsbehörden auch nachgewiesen werden müssten.[10]

Da im Rahmen des USA PATRIOT Act US-Sicherheitsbehörden unter Umständen auch ohne Benachrichtigung der Dateninhaber Zugriff auf die in den Vereinigten Staaten gespeicherten Daten gewährt werden muss, geriet das Safe-Harbor-Abkommen immer mehr in die Kritik. Nach Ansicht des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein sei Safe Harbor „das Papier nicht wert, auf dem es geschrieben steht“.[11]

Nach den Enthüllungen Edward Snowdens hatten die deutschen Datenschutzbeauftragten am 24. Juli 2013 die deutsche Bundesregierung und die Europäische Kommission aufgefordert, das Safe-Harbor-System zu überprüfen und bekanntgegeben, dass sie bis auf weiteres keinen Datenexport in die USA unter dem Safe-Harbor-System zulassen.[12]

Einen Tag darauf, am 25. Juli 2013, wurde bekannt, dass zwei Beschwerden gegen Apple und Facebook vor der irischen Datenschutzbehörde nicht bearbeitet wurden. Die irische Datenschutzbehörde stellte fest, dass PRISM an der Gültigkeit von Safe Harbor nichts geändert habe und für die Frage der Rechtmäßigkeit des Datenexports in die USA weiterhin allein auf die Zugehörigkeit des Empfängerunternehmens zu der Safe-Harbor-Liste abzustellen sei. Des Weiteren stellte die Behörde fest, dass die EU schon im Jahr 2000 eine Datenverwendung wie für das PRISM-Programm „vorausgesehen und geregelt“ hätte.[13]

Die EU hatte bereits zuvor am 19. Juli 2013 eine Überprüfung von Safe Harbor bis zum Jahresende 2013 angekündigt.[14] In einer Stellungnahme zur Entscheidung der Datenschutzbehörde in Irland stellte die EU-Kommission fest: „Im Lichte der Veröffentlichungen rund um PRISM scheint es, dass die Datenschutzerfordernisse durch das ‚Safe Harbor‘-Abkommen nicht den europäischen Standards entsprechen.“[15]

Die EU-Justizkommissarin Viviane Reding kündigte am 6. September 2013 eine Reform des EU-Datenschutzes an, in dem Unternehmen „mit Strafen von bis zu zwei Prozent des weltweiten Jahresumsatzes“ rechnen müssen, wenn sie „etwa illegal Daten übermitteln“.[16] Mit 544 Ja-Stimmen, 78 Gegenstimmen und 60 Enthaltungen stimmten die EU-Abgeordneten des Europaparlamentes im März 2014 für eine Aussetzung des Safe-Harbor-Abkommens.[17]

Urteil des Europäischen Gerichtshofs 2015[Bearbeiten | Quelltext bearbeiten]

Im September 2015 erhielt Safe Harbor einen weiteren Rückschlag, als der Generalanwalt am Europäischen Gerichtshof Yves Bot in seinen Schlussanträgen in der Rechtssache C-362/14 – Schrems/Data Protection Commissioner – die Safe-Harbor-Entscheidung der Kommission für nicht bindend und für ungültig befand. Der irische High Court hatte dem EuGH die Frage zur Entscheidung vorgelegt, ob die Safe-Harbor-Entscheidung die irische Datenschutzbehörde daran hindere, eine Beschwerde zu prüfen, mit der geltend gemacht wurde, dass ein Drittland kein ausreichendes Schutzniveau gewährleiste, und gegebenenfalls die mit der Beschwerde angefochtene Datenübermittlung auszusetzen. Der Beschwerdeführer hatte sich konkret gegen die Übermittlung von Daten durch das soziale Netzwerk Facebook in die USA gewandt.

Der Generalanwalt führte aus, die Kommission sei nicht ermächtigt, die Befugnisse der nationalen Kontrollbehörden zu beschränken. Wenn in einem Drittland „systemische Mängel festgestellt werden“, müsse ein Mitgliedstaat der Europäischen Union „die erforderlichen Maßnahmen ergreifen können, um die Grundrechte, die von der Charta der Grundrechte der Europäischen Union geschützt werden, wie das Recht auf Achtung des Privat- und Familienlebens und das Recht auf den Schutz personenbezogener Daten, zu wahren“. Die USA erlaubten Datensammlungen von EU-Bürgern „in großem Umfang […], ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen“. Die amerikanischen Geheimdienste übten eine Überwachung aus, die „massiv und nicht zielgerichtet“ und daher nicht verhältnismäßig sei. Daher sei es nicht ausreichend, dass die Kommission mit den USA in Verhandlungen eingetreten sei, um diese Grundrechtseingriffe abzustellen. Sie hätte auch die Anwendung der Safe-Harbor-Entscheidung aussetzen müssen.[18]

In seinem Urteil vom 6. Oktober 2015 folgte der Europäische Gerichtshof den Schlussanträgen des Generalanwalts und erklärte, die Safe-Harbor-Entscheidung der Kommission hindere die irische Datenschutzbehörde nicht zu prüfen, ob die Übermittlung von Nutzerdaten in die USA durch Facebook auszusetzen wäre. Die Entscheidung der Europäischen Kommission stehe dem nicht entgegen, denn die Kommission könne die Befugnisse der nationalen Datenschutzbehörden weder beseitigen noch beschränken. Es fehle ihr an der dazu erforderlichen Kompetenz.

Der Europäische Gerichtshof stellte überdies fest, er allein habe letztlich über die Gültigkeit einer Entscheidung der Kommission zu befinden.[2][3] In dieser Sache kam er zu dem Ergebnis, die Safe-Harbor-Regelung laufe ins Leere, da die US-amerikanischen Unternehmen, die sich ihr unterworfen hätten, jederzeit und ohne Einschränkung verpflichtet seien, die Schutzregeln unangewendet zu lassen und personenbezogene Daten an die US-amerikanischen Sicherheitsbehörden herauszugeben, „ohne dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.“ Damit sieht das Gericht den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und des wirksamen gerichtlichen Rechtsschutzes verletzt. Deshalb sei die Safe-Harbor-Entscheidung ungültig.[2][19]

Die deutschen Datenschutzbehörden haben in einem gemeinsamen Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder vom 26. Oktober 2015 klargestellt,[20] dass eine Übermittlung von Daten, die allein auf Safe Harbor gestützt ist, durch das Urteil des Europäischen Gerichtshofs nunmehr ausgeschlossen sei. Solche Übermittlungen würden untersagt, wenn die Behörden davon Kenntnis erlangten. Neue Genehmigungen von Datenübermittlungen aufgrund von Datenexportverträgen und Unternehmensregelungen würden nicht mehr erteilt. Die Auffassung der britischen und der irischen Datenschutzbehörden, wonach das Gericht lediglich Safe Harbor für unwirksam erklärt hätte, nicht jedoch den Datenexport aufgrund von EU-Standardvertragsklauseln oder der informierten Einwilligung, teilen die deutschen Datenschützer nicht. Wiederholte, massenhafte und routinemäßige Datentransfers könnten durch eine Einwilligung grundsätzlich nicht mehr gedeckt werden. Das gelte insbesondere für die Daten von Beschäftigten oder von Dritten. Der Gesetzgeber wurde aufgefordert, den Datenschutzbehörden ein eigenes Klagerecht einzuräumen.[21] Die europäischen Datenschutzbehörden einigten sich im Oktober 2015 auf eine Übergangsfrist für eine Neuregelung der Datenübertragung in die USA bis Ende Januar 2016.[22] Über das weitere Vorgehen wird Anfang Februar 2016 beraten.[23]

Safe Harbor USA-Schweiz[Bearbeiten | Quelltext bearbeiten]

Das Schweizer Staatssekretariat für Wirtschaft (SECO) und der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) haben gemeinsam mit den USA auch für die Schweiz ein Regelwerk ausgearbeitet, welches für die darunter zertifizierten Unternehmen ein ausreichendes Datenschutzniveau gewährleisten soll.

Der EDÖB hielt fest, mit dem U.S.-Swiss Safe Harbor Framework sei mit den USA eine Grundlage geschaffen worden, die den Datentransfer mit der Schweiz und den US-Unternehmen erleichtere.[6]

Nach dem erwähnten Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015 (Rs. C-362/14) hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eine knappe Stellungnahme veröffentlicht, worin er feststellt, auch das Abkommen zwischen der Schweiz und den USA werde durch dieses Urteil in Frage gestellt.[24]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Literatur[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA. In: Amtsblatt der Europäischen Gemeinschaften, 25. August 2000, L215/7. Abgerufen am 27. September 2015.
  2. a b c Europäischer Gerichtshof: Pressemitteilung Nr. 117/15 zum Urteil in der Rechtssache C-362/14 – Maximilian Schrems / Data Protection Commissioner. 6. Oktober 2015. Abgerufen am 6. Oktober 2015.
  3. a b Urteil in der Rechtssache C-362/14 – Maximilian Schrems / Data Protection Commissioner vom 6. Oktober 2015., abgerufen am 6. Oktober 2015
  4. a b Europäische Kommission: Press release – EU Commission and United States agree on new framework for transatlantic data flows: EU-US Privacy Shield. In: europa.eu. 2. Februar 2016, abgerufen am 2. Februar 2016.
  5. a b axk/dpa: Einigung zwischen EU und USA: Safe Harbor heißt jetzt "EU-US-Privacy Shield". In: heise online. Abgerufen am 2. Februar 2016 (de-de).
  6. a b Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter: Abschluss eines Safe-Harbor-Abkommens Schweiz-USA. In: Tätigkeitsbericht Nr. 26, 2008/2009. Abgerufen am 28. September 2015.
  7. Pressemitteilung des EDÖB.
  8. Bericht und Empfehlungen an den Bundesrat vom 14. Oktober 2015.
  9. U.S.–EU Safe Harbor List, abgerufen am 27. September 2015.
  10. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht- öffentlichen Bereich am 28./29. April 2010 in Hannover (überarbeitete Fassung vom 23. August 2010). Abgerufen am 27. September 2015.
  11. Jürgen Seeger: Editorial – iX. In: heise.de. 12. Oktober 2011, abgerufen am 6. Oktober 2015.
  12. Bundesbeauftragter für den Datenschutz : Press Release „Safe Harbor“ Bremen/Bremerhaven, 24 July 2013. Abgerufen am 28. September 2015.
  13. Konrad Lischka: EU-Tochterfirmen: Irische Aufsichtsstelle nennt Datenexport in die USA legal. In: Spiegel Online. 25. Juli 2013, abgerufen am 6. Oktober 2015.
  14. EU to review ‘safe harbour’ data privacy rule for US companies. In: Financial Times (nur für Abonnenten lesbar).
  15. Natasha Lomas: Irish Data Protection Agency Smiles On Apple, Facebook Prism Compliance But Europe Is Taking Closer Look At Safe Harbor “Loophole”. In: techcrunch.com. 25. Juli 2013, abgerufen am 6. Oktober 2015 (englisch).
  16. Nach PRISM: Europas Datenschutz braucht jetzt Vorfahrt. europa.eu
  17. NSA: EU-Parlament fordert Stopp der Datenübermittlung an die USA. In: zeit.de. 12. März 2014, abgerufen am 6. Oktober 2015.
  18. Europäischer Gerichtshof: Pressemitteilung Nr. 106/15. Schlussanträge des Generalanwalts in der Rechtssache C-362/14 – Maximilian Schrems / Data Protection Commissioner. 23. September 2015. Abgerufen am 28. September 2015.
  19. Fabian Warislohner: Safe-Harbor-Urteil: Reaktionen aus Presse, Politik, NGOs und Verbänden. In: netzpolitik.org. 6. Oktober 2015, abgerufen am 6. Oktober 2015.
  20. Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder. In: www.datenschutz.hessen.de. 26. Oktober 2015, abgerufen am 27. Oktober 2015.
  21. Christiane Schulzki-Haddouti: Safe Harbor: Deutsche Datenschutzbehörden wollen transatlantischen Datenverkehr teilweise kappen. In: heise online. Abgerufen am 27. Oktober 2015 (de-de).
  22. Christiane Schulzki-Haddout: EU-Datenschützer setzen Ultimatum für Safe Harbor 2.0. In: heise online. 17. Oktober 2015, abgerufen am 1. Februar 2016 (de-de).
  23. Daniel AJ Sokolov: Datenschutz: Keine Amnestie für Safe Harbor mehr. In: heise online. 1. Februar 2016, abgerufen am 1. Februar 2016 (de-de).
  24. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter: Safe-Harbor-Urteil des Europäischen Gerichtshofs: Stellungnahme des EDÖB. Abgerufen am 9. Oktober 2015.