Viele große Unternehmen wie Facebook, LinkedIn oder PayPal haben ihren Sitz in den USA. Was dürfen US-Unternehmen mit den Daten der EU-Bürger tun? Können US-Behörden auf diese Daten zugreifen? Um diese Fragen und um die rechtliche Regelung der Verarbeitung personenbezogener Daten ging es bei dem Safe Harbor Abkommen. Dieses Abkommen wurde im Jahr 2000 abgeschlossen und hält Europa heute noch in Atem.
Die Safe Harbor Entscheidung ermöglichte, dass personenbezogene Daten von EU-Bürgern an Unternehmen in den USA übermittelt werden konnten, ohne die europäischen Datenschutzstandards zu verletzen. Grundsätzlich verbietet die Datenschutzrichtlinie 95/46/EG (in § 4b BDSG in deutsches Recht umgesetzt), die Übertragung personenbezogener Daten aus Mitgliedstaaten der Europäischen Union (EU) in dritte Staaten, sofern deren Schutzniveau nicht mit EU-Recht vereinbar ist((Art. 25 und 26 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Dies wurde in deutsches Recht umgesetzt, siehe § 4b BDSG, insbesondere § 4b Abs. 2 Satz 2 BDSG. Dies wurde in deutsches Recht umgesetzt, siehe § 4b BDSG, insbesondere § 4b Abs. 2 Satz 2 BDSG.)). Die Europäische Kommission kann jedoch feststellen, dass der Datenschutz in einem Drittland angemessen ist. Von dieser Möglichkeit machte sie unter anderem Gebrauch, um den Datentransfer zwischen der EU und den USA, einem der bedeutendsten Handelspartner der Staatengemeinschaft, zu ermöglichen.
So kam es am 26.07.2000 zur der Entscheidung durch die Europäische Kommission, die heute als Safe Harbor (zu Deutsch: sicherer Hafen) bekannt
ist((2000/520/EG: Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des “sicheren Hafens” und der diesbezüglichen “Häufig gestellten Fragen” (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (Bekannt gegeben unter Aktenzeichen K(2000) 2441) (Text von Bedeutung für den EWR.) )). Im Vorfeld dieser Entscheidung wurden sieben Prinzipien zwischen der EU und dem Handelsministerium der USA verhandelt, welche die in den USA tätigen Unternehmen beachten mussten. Diese Prinzipien bilden die sogenannten Grundsätze des „sicheren Hafens“ für den Datenfluss in die USA.
Die Prinzipien
- Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.
- Wahlmöglichkeit: die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
- Weitergabe: wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren.
- Auskunftsrecht: die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, korrigieren, ergänzen oder löschen können.
- Sicherheit: die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
- Datenintegrität: die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
- Durchsetzung: die dem Safe Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt (Mehr zu den Prinzipien finden Sie auf der Seite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit).
Amerikanische Unternehmen konnten dem Abkommen beitreten, indem Sie sich gegenüber der amerikanischen Federal Trade Commission (Bundesbehörde zur Bekämpfung des unlauteren Wettbewerbs und zur Durchführung der Kartellgesetze) dazu verpflichteten, diese Grundsätze einzuhalten und sich in ein Verzeichnis des US-Handelsministeriums eintragen ließen. Bei Verstößen gegen die Prinzipien des Safe Harbor konnten die Betroffenen Beschwerden und Klagen einreichen und unter Umständen Entschädigung verlangen. Verbraucher konnten sich an eine Streitschlichtungsstelle wenden oder die Datenschutzbehörde in ihrem Land anschreiben.
Ein sicherer Datenhafen?
Seit der Einführung stand das Safe Harbor Abkommen heftig in der Kritik. Es wurde bemängelt, dass Safe Harbor den Schutz personenbezogener Daten nicht ausreichend garantieren kann und die formulierten Prinzipien nicht konkret genug waren. Viele Unternehmen, die vom Datenfluss zwischen EU und USA profitierten, waren nicht im Register eingetragen oder hielten sich schlicht nicht an die Prinzipien (Mehr dazu lesen Sie in der Pressemitteilung des unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein). Personenbezogene Daten der EU-Bürger wurden somit auch an Unternehmen in den USA weitergeleitet, die keine entsprechenden Datenschutzstandards im Sinne des Safe Harbor Abkommens hatten. Die Einhaltung der Prinzipien konnte auch nicht ausreichend durch die Federal Trade Commission kontrolliert werden, denn es bestand keine Nachweispflicht für die Unternehmen. Diese Kritik verschärfte sich 2013 massiv als die Enthüllungen des ehemaligen Geheimdienstmitarbeiter Edward Snowden aufzeigten, in welchem Ausmaß US-Geheimdienste auf die Daten insbesondere amerikanischer Unternehmen zugreifen können (NSA-Affäre).
Das Ende von Safe Harbor: Maximilian Schrems vs. Facebook
Der EuGH hat in seinem Urteil vom 06.10.2015 entschieden, dass Safe Harbor keinen ausreichenden Datenschutz gewährleisten kann und die Safe Harbor Vereinbarung für ungültig erklärt. Ausgangspunkt war ein Rechtsstreit zwischen dem österreichischen Juristen (damaligen Jura-Studenten) Maximilian Schrems und Facebook Irland. Schrems wollte eine Weitergabe seiner Daten an Facebook USA durch die irische Datenschutzbehörde verbieten lassen, da diese durch Facebook gesammelten Daten seiner Ansicht nach in den USA nicht sicher seien. Die irische Datenschutzbehörde verwies auf das Safe Harbor Abkommen und wies Schrems‘ Beschwerde zurück. Daraufhin legte Schrems Widerspruch beim obersten irischen Zivil- und Strafgericht (dem sog. Irish High Court) ein. Der Irish High Court wiederum legte die Frage aufgrund des europarechtlichen Bezugs dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vor, welcher die Datenübermittlung an Facebook USA für ungültig erklärte und im selben Zuge das komplette Safe Harbor Abkommen für rechtswidrig befand.
Warum ist Safe Harbor nicht „safe“?
Im Urteil vom 06.10.2015 haben die EuGH-Richter die Safe Harbor Vereinbarung aus mehreren Gründen für ungültig erklärt:
- Fehlende Zuständigkeit der EU-Kommission: Der irischen Datenschutzbehörde waren die Hände gebunden, denn sie konnte die Beschwerde von Schrems nicht überprüfen, weil ihr durch die Safe Harbor Entscheidung der EU-Kommission die Zuständigkeit entzogen wurde. Schließlich garantierte Safe Harbor ein angemessenes Schutzniveau der registrierten Unternehmen. Die EU-Kommission durfte die Befugnisse der nationalen Datenschutzbehörden jedoch nicht beschränken , denn dazu fehlte ihr die Zuständigkeit. Es muss schließlich garantiert sein, dass die Datenschutzaufsicht auch die Übermittlung von Daten an Drittstaaten weisungsfrei und unabhängig prüfen kann (URTEIL VOM 6. 10. 2015, Rn. 104.).
- Keine Feststellung des angemessenen Datenschutzniveaus: Der Datentransfer in ein Drittland ist nach der europäischen Datenschutzrichtlinie nur unter der Voraussetzung erlaubt, dass die Kommission ein angemessenes Datenschutzniveau feststellt. Die Kommission hat jedoch in der Safe Harbor Entscheidung nicht festgestellt, dass die Vereinigten Staaten von Amerika aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein angemessenes Schutzniveau „gewährleisten“ (URTEIL VOM 6. 10. 2015, Rn.97.).
- Fehlen eines wirksamen gerichtlichen Rechtsschutzes: Nicht zuletzt scheiterte Safe Harbor auch daran, dass dem EU-Bürger die Möglichkeit fehlte, den Zugang, die Berichtigung oder Löschung seiner personenbezogenen Daten vor Gericht durchzusetzen (URTEIL VOM 6. 10. 2015, Rn.95.).
Der Datenschutzschild kommt
Nach dem Ende von Safe Harbor fehlte es an einer Rechtsgrundlage für den Datentransfer an US-amerikanische Unternehmen und die Forderung nach einer neuen Regelung wurde laut.
Im Februar 2016 verkündete die EU-Kommission einen Entwurf für den Safe Harbor-Nachfolger: Der „Privacy Shield“ soll in Zukunft die Übermittlung personenbezogener Daten in die USA regeln. Derzeit laufen noch die Verhandlungen. Ob das neue Abkommen eine Verbesserung für den Datenschutz bei der Übermittlung der personenbezogenen Daten bringt, bleibt abzuwarten.
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.