Zur Navigation springen Zum Inhalt springen Zum Footer springen

EU und USA: Safe-Harbor-Entscheidung für ungültig erklärt

(1)

Im Oktober 2015 hat der Europäische Gerichtshof (EuGH) die sogenannte Safe-Harbor-Entscheidung zwischen der Europäischen Union und den USA für ungültig erklärt.

Safe Harbor (englisch „sicherer Hafen”) ist der Name einer Entscheidung der Europäischen Kommission auf dem Gebiet des Datenschutzes aus dem Jahr 2000. Aufgrund dieser Entscheidung sollte den Unternehmen ermöglicht werden, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln. Die Safe-Harbor-Entscheidung wird auch Safe-Harbor-Abkommen, Safe-Harbor- Vereinbarung oder Safe-Harbor-Pakt genannt.

Safe-Harbor-Modell

Ausgangspunkt für die Safe-Harbor-Entscheidung bilden die Vorschriften der Art. 25 und 26 der Europäischen Datenschutzrichtlinie, nach denen ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da es dort keine umfassenden gesetzlichen Regelungen zum Datenschutz gibt, die dem europäischen Standard entsprechen würden. Allerdings sieht Art. 25 Abs. 6 der Richtlinie vor, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittstaat feststellen kann, wenn dieser bestimmte Anforderungen erfüllt. Zur Überbrückung der Systemunterschiede wurde das Safe-Harbor-Modell entwickelt. Im Oktober 2000 erließ die Europäische Kommission eine Entscheidung, nach der in den USA tätige Organisationen über ein angemessenes Datenschutzniveau verfügen, wenn sie sich gegenüber der Fedaral Trade Commission (FTC) öffentlich und unmissverständlich zur Einhaltung der durch das US-Handelsministerium veröffentlichten 7 Prinzipien und der in Antworten auf die 15 häufig gestellten Fragen enthaltenen Hinweise, verpflichten.

Prinzipien der Safe-Harbor-Entscheidung

Die Safe-Harbor-Entscheidung sieht vor, dass amerikanische Unternehmen ein angemessenes Datenschutzniveau vorweisen, wenn sie die 7 folgenden Prinzipien einhalten:

  1. Informationspflicht: Die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.
  2. Wahlmöglichkeit: Die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
  3. Weitergabe: Wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren.
  4. Zugangsrecht: Die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, ergänzen oder löschen können.
  5. Sicherheit: Die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
  6. Datenintegrität: Die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
  7. Durchsetzung: Die dem Safe Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, sodass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt.

Zusätzlich sieht die Vereinbarung vor, dass die Unternehmen die Hinweise in den Antworten auf 15 häufig gestellte Fragen zu beachten haben. In den Antworten zu diesen Fragen werden die Prinzipien näher erläutert.

Urteil des Europäischen Gerichtshofs

Im Oktober 2015 hat der Europäische Gerichtshof die Safe-Harbor-Entscheidung für ungültig erklärt.

Im vorliegenden Fall hatte der österreichische Jurist Max Schrems gegen die Übermittlung seiner Facebook-Daten geklagt, nachdem im Jahr 2013 durch die Snowden-Enthüllungen zahlreiche Überwachungsmethoden der NSA ans Licht gekommen waren und kaum anzunehmen war, dass personenbezogene Daten in den USA ausreichend vor den dortigen Behörden geschützt sind. Zuerst legte Schrems bei der irischen Datenschutzbehörde die Beschwerde gegen die Weitergabe seiner Daten durch die dort sitzende EU-Tochtergesellschaft von Facebook ein. Die Datenschutzbehörde wies die Beschwerde unter anderem mit der Begründung zurück, die Europäische Kommission habe die Vereinigten Staaten als „sicheren Hafen” eingestuft, worauf Schrems vor den obersten irischen Gerichtshof zog.

Der irische Gerichtshof wiederum hat den EuGH gebeten zu prüfen, ob eine nationale Datenschutzbehörde sich über die Entscheidung der Kommission hinwegsetzen kann. Genau genommen ging es bei dem vorliegenden Fall zunächst nicht um die Frage, ob Amerika ein „sicherer Hafen” für persönliche EU-Daten ist. Die Richter entschieden jedoch, der Bewertung des Generalanwalts beim Europäischen Gerichtshof, Yves Bot, zu folgen.

Dieser hatte bereits erklärt, er halte die Safe-Harbor- Entscheidung für ungültig. Die EU-Kommission habe zudem keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden durch das Abkommen zu beschränken, urteilten die Luxemburger Richter.

Nach dem Urteil des EuGHs muss Irland nun prüfen, ob Schrems Beschwerde zutrifft. Das bedeutet, die irische Datenschutzbehörde wird entscheiden müssen, ob die USA ein angemessenes Schutzniveau für personenbezogene Daten bieten. Die Richter fordern eine Überprüfung „mit aller gebotenen Sorgfalt”.

Folgen des Urteiles

Die Erklärung, dass die Safe-Harbor-Entscheidung ungültig ist, bedeutet für die EU-Unternehmen, dass der Transfer personenbezogener Daten in die USA auf dieser Grundlage nicht mehr möglich ist. Für Unternehmen, die personenbezogene Daten bislang auf der Grundlage von Safe Harbor in die USA übermittelt haben, besteht daher akuter Handlungsbedarf. Die Unternehmen müssen ab sofort überprüfen, ob von entsprechenden Transfers in die USA abzusehen ist oder aber der Gebrauch anderer Instrumente, wie EU-Standardverträge oder Binding Corporate Rules (BCR), in Betracht kommt.

Die EU-Kommission verhandelt mit den USA bereits seit Ende 2013 über eine Neufassung des Abkommens.


Rechtstipp vom 07.12.2018
aus der Themenwelt Management und Verträge und dem Rechtsgebiet Internationales Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Achim Heuser (HEUSER Recht und Steuern)