Das Safe Harbor Abkommen wurde im Jahre 2000 zwischen der EU und den USA geschlossen, um den legalen Transfer personenbezogener Daten in die USA zu ermöglichen. Hintergrund für die Notwendigkeit eines solchen Abkommens war die Tatsache, dass der Datentransfer in Drittstaaten, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen, nach Art. 25 und 26 der Europäischen Datenschutzrichtlinie verboten ist.

Da die USA als ein solches unsicheres Drittland gelten, wurde das Safe Harbor Abkommen geschlossen, um den Datenaustausch mit einem der wichtigsten Handelspartner weiterhin zu ermöglichen. Dafür wurden insgesamt sieben Anforderungen festgelegt, die nach europäischen Standards ohnehin jedes Unternehmen erfüllen muss, um ein angemessenes Datenschutzniveau vorweisen zu können:

1. Informationspflicht:
   Pflicht der Unternehmen, die Betroffenen darüber zu unterrichten, welche Daten für welche Zwecke erhoben worden sind und welche Rechte die Betroffenen haben.
2. Wahlmöglichkeit:
   Betroffene müssen die Möglichkeit haben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
3. Weitergabe:
   wenn eine Datenweitergabe erfolgt, müssen die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informiert werden.
4. Zugangsrecht:
   die Betroffenen müssen die über sie gespeicherten Daten einsehen und sie ggf. berichtigen, ergänzen oder löschen können.
5. Sicherheit:
   Schaffen von angemessenen Sicherheitsvorkehrungen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
6. Datenintegrität:
   Sicherstellung, dass die von den Unternehmen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
7. Durchsetzung:
   Mechanismen für eine effektive Durchsetzung von Betroffenenrechten.

Nach nun mehr als 10 Jahren, die ernüchternde Bilanz:

Laut ULD-Leiter Thilo Weichert müsste das Safe Harbor Abkommen aus Datenschutzsicht gekündigt werden. Grund für diese Aussage ist eine Untersuchung eines australischen Datenschutzforschers über die Einhaltung der Safe-Harbor-Grundsätze durch US-Unternehmen. Einer Pressemitteilung des ULD zufolge „behaupten 2170 US-Unternehmen, gemäß Safe Harbor privilegiert zu sein, wovon aber 388 beim Handelsministerium überhaupt nicht registriert waren. Von den dort aufgeführten Unternehmen waren 181 Zertifikate schon wegen Zeitablauf nicht mehr gültig. Bei Überprüfung allein des 7. Grundsatzes der „Durchsetzung“ ergab sich, dass von den 2170 US-Unternehmen 940 für Betroffene keine Informationen bereitstellen, wie diese ihre Rechte durchsetzen können.“

Oder aber Unternehmen stellen Verfahren zur Durchsetzung der Betroffenenrechte zur Verfügung, versehen dieses aber mit so horrenden Kosten, dass niemand ein Beschwerdeverfahren durchführt. Obwohl jährlich über 2000 Beschwerden eingelegt werden, wurden insgesamt nur sieben Unternehmen abgemahnt, weil sie sich zu Unrecht auf Safe Harbor berufen haben.

Eine Kündigung aber scheint undenkbar, so dass Datenexporteure zumindest weitere Mindestprüfungen vornehmen müssen. Ein wirklich scharfes Schwert ist das Abkommen damit dennoch nicht. Das Berufen auf Safe Harbor darf künftig kein Freibrief mehr für Unternehmen wie Google oder Facebook sein. Ein Weiterführen des Abkommens unter diesen Voraussetzungen scheint zumindest im Moment sinnfrei.

————————————————————————————————————————-

Quellen und Links:

Safe Harbor Privacy Principles
http://export.gov/safeharbor/eu/eg_main_018475.asp

Webseite Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
https://www.datenschutzzentrum.de/

tec4net schafft Rechtssicherheit im Unternehmen durch Datenschutzberatung