Safe Harbor

Safe Harbor (engl. „Sicherer Hafen“) ist eine Entscheidung^[1] der Europäischen Kommission, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Es besteht des Weiteren eine ähnliche Vereinbarung mit der Schweiz. Regelmäßig wird vom Safe-Harbor-Abkommen (auch Safe-Harbor-Pakt^[2]) gesprochen, da diese Vorgangsweise mit den USA vereinbart war. Es handelt sich bei Safe Harbor jedoch um keinen völkerrechtlichen Vertrag, sondern lediglich um eine Entscheidung der Europäischen Kommission. Die Richtlinie 95/46/EG (Datenschutzrichtlinie) verbietet es grundsätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten in Staaten zu übertragen, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da diese keine umfassenden gesetzlichen Regelungen kennen, die den Standards der EU entsprechen.

Damit der Datenverkehr zwischen den USA, der EU und der Schweiz nicht zum Erliegen kommt, wurde zwischen 1998 und 2000 ein besonderes Verfahren entwickelt. US-Unternehmen können dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichten, die Safe Harbor Principles (englisch für „Grundsätze des sicheren Hafens“) und die dazugehörenden – verbindlichen – Frequently Asked Questions (FAQ) zu beachten. Im Jahr 2000 hat die EU in einer Entscheidung anerkannt, dass bei den Unternehmen, die dem Safe-Harbor-System beigetreten sind, ein ausreichender Schutz besteht.

Bislang sind mehr als eintausend Unternehmen dem Safe-Harbor-Abkommen beigetreten,^[3] darunter IBM, Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard, Dropbox und Facebook.

Gemeinsam mit dem Schweizer Staatssekretariat für Wirtschaft (SECO), dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und den USA wurde auch für die Schweiz ein Regelwerk ausgearbeitet, welches für die darunter zertifizierten Unternehmen ein ausreichendes Datenschutzniveau gewährleistet.

Mit dem “U.S.-Swiss Safe Harbor Framework” wurde mit den USA eine Grundlage geschaffen, die den Datentransfer mit der Schweiz und den US-Unternehmen erleichtert.

Der Düsseldorfer Kreis, das Gremium in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, hat im April 2010 erklärt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürfen.^[4] Die im Düsseldorfer Kreis vertretenen Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe-Harbor-Zertifizierung und Beachtung der Safe-Harbor-Grundsätze nachweisen lässt.

Hierzu gehört nach Auffassung der Aufsichtsbehörden, dass die Datenexporteure jedenfalls folgende Mindestprüfungen vornehmen:

1. Jährliche Beteurung: Die Unternehmen sind verpflichtet, in einem jährlichen Schreiben an die FTC zu erklären, dass die Datenschutzstandards weiterhin eingehalten werden. Bei einem Verstoß kann die Datenverarbeitung gestoppt oder Sanktionen verhängt werden.^[5]
2. Einhaltung der Pflicht zur Information der Betroffenen: Gemäß dem Notice-Prinzip in den Safe-Harbor-Grundsätzen hat der Datenimporteur in den USA Privatpersonen darüber zu informieren, zu welchem Zweck personenbezogene Daten erhoben und verwendet werden, wie sich Betroffene mit Nachfragen und Beschwerden an den Datenimporteur wenden können und an welche Dritte die Daten weitergegeben werden.

Datenexporteure in Deutschland müssen diese Mindestprüfung dokumentieren und auf Nachfrage den Aufsichtsbehörden nachweisen.

Da im Rahmen des US Patriot Act US-Sicherheitsbehörden unter Umständen auch ohne Benachrichtigung der Dateninhaber Zugriff auf die in US-Clouds gespeicherten Daten gewährt werden muss, gerät das Safe-Harbor-Abkommen immer mehr in Kritik und ist nach Meinung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein „das Papier nicht wert, auf dem es geschrieben steht“.^[6]

Nach Aufdeckung des PRISM-Skandals haben die deutschen Datenschutzbehörden am 24. Juli 2013 die deutsche Bundesregierung und die Europäische Kommission aufgefordert, das Safe-Harbor-System zu überprüfen und bekanntgegeben, dass sie bis auf weiteres keinen Datenexport in die USA unter dem Safe-Harbor-System zulassen.^[7]

Einen Tag darauf, am 25. Juli 2013, wurde bekannt, dass zwei Beschwerden gegen Apple und Facebook vor der irischen Datenschutzbehörde nicht bearbeitet wurden. Die irische Datenschutzbehörde stellte fest, dass PRISM an der Gültigkeit von Safe Harbor nichts geändert hat und allein die Zugehörigkeit des Empfängerunternehmens zu der Safe-Harbor-Liste ausreichend sei, damit der Datenexport in die USA legal ist. Des Weiteren stellte die Behörde fest, dass die EU im Jahr 2000 Datenverwendung wie für PRISM „vorausgesehen und geregelt“ hätte.^[8]

Die EU hat bereits zuvor am 19. Juli 2013 eine Überprüfung bis Jahresende 2013 angekündigt.^[9] In einer Stellungnahme zur Entscheidung der Datenschutzbehörde in Irland stellte die EU-Kommission fest: „Im Lichte der Veröffentlichungen rund um PRISM scheint es, dass die Datenschutzerfordernisse durch das ‘Safe Harbour’-Abkommen nicht den europäischen Standards entsprechen.“^[10]

Die EU-Justizkommissarin Viviane Reding kündigte am 6. September 2013 eine Reform des EU-Datenschutzes an, in dem Unternehmen „mit Strafen von bis zu zwei Prozent des weltweiten Jahresumsatzes“ rechnen müssen, wenn sie „etwa illegal Daten übermitteln“.^[11]

Mit 544 Ja-Stimmen, 78 Gegenstimmen und 60 Enthaltungen stimmten die EU-Abgeordneten des Europaparlamentes im März 2014 für eine Aussetzung des Safe Harbor-Abkommens zur Übermittlung gewerblicher Daten in die Vereinigten Staaten.^[12]

• EU-Datenschutzreform

• Simon Fink: Datenschutz zwischen Staat und Markt – Die „Safe Harbor“-Lösung als Resultat einer strategischen Interaktion zwischen der EU, den USA und der IT-Industrie. Konstanz 2002, uni-konstanz.de

• Entscheidung der Europäischen Kommission (2000/520/EG) (PDF)
• Safe Harbor Website des US-Handelsministeriums
• „Düsseldorfer Kreis“: Beschluss vom 28./29. April 2010 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe-Harbor-Abkommen durch das Daten exportierende Unternehmen bfdi.bund.de
• U.S.-Swiss Safe Harbor Framework Webseite der Schweizerischen Eidgenossenschaft
• Nach PRISM: Europas Datenschutz braucht jetzt Vorfahrt.

1. ↑ eur-lex.europa.eu (PDF)
2. ↑ spiegel.de
3. ↑ Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 25. Oktober 2006
4. ↑ Beschluss des Düsseldorfer Kreises vom 28./29. April 2010 zur Prüfung der Selbst-Zertifizierung des Datenimporteuers nach dem Safe-Harbor-Abkommen durch das Daten exportierende Unternehmen. (PDF; 22 kB)
5. ↑ „The Department (or its designee) will maintain a list of all organizations that file such [self-certification] letters, thereby assuring the availability of safe harbor benefits, and will update such list on the basis of annual letters and notifications received pursuant to FAQ 11. Such self-certification letters should be provided not less than annually.“ Safe Harbor FAQ 6 States
6. ↑ Jürgen Seeger: Editorial – To cloud or not to cloud.. In: iX, Zeitschriften-Ausgabe 11/2011
7. ↑ Presseerklärung Bundesbeauftragter für den Datenschutz
8. ↑ NSA-Überwachung: Irische Aufsicht will Datenexport nicht prüfen. In: Spiegel Online
9. ↑ EU to review ‘safe harbour’ data privacy rule for US companies. In: Financial Times
10. ↑ Irish Data Protection Agency Smiles On Apple, Facebook Prism Compliance - But Europe Is Taking Closer Look At Safe Harbor “Loophole”. TechCrunch
11. ↑ Nach PRISM: Europas Datenschutz braucht jetzt Vorfahrt. europa.eu
12. ↑ Zeit.de: EU-Parlament fordert Stopp der Datenübermittlung an die USA; 12. März 2014