Safe Harbor war das erste Datenschutzabkommen zwischen den USA und der EU. Es ermöglichte den internationalen Datentransfer in die USA als sogenanntes Drittland. Das Safe-Harbor-Abkommen wurde 2015 durch ein Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt.
Hintergrund: Was war Safe Harbor?
Ab dem 26. Juli 2000 bestand eine Vereinbarung zwischen der EU und dem Handelsministerium der USA (Department of Commerce) zu den Grundsätzen des sogenannten „sicheren Hafens“ (Safe Harbor). Diese Vereinbarung sollte ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die im Safe-Harbor-Abkommen vorgegebenen Grundsätze verpflichteten.
Zweck von Safe Harbor war es, dass personenbezogene Daten legal in die USA übermittelt werden konnten. Ausgangspunkt für diese Vereinbarung bildeten die Vorschriften der Art. 25 und 26 der europäischen Datenschutzrichtlinie (mittlerweile abgelöst durch die DSGVO), nach denen ein Datentransfer in Drittstaaten verboten war, die nicht über ein dem EU-Recht vergleichbares Datenschutzniveau verfügten. Hiervon waren auch die USA betroffen, da es dort keine dem europäischen Standard gleichwertigen Regelungen zum Datenschutz gab.
Um den Datenaustausch zwischen der EU und einem ihrer wichtigsten Handelspartner nicht zum Erliegen zu bringen, wurde deshalb nach einem Weg gesucht, wie ein Datentransfer in die USA ermöglicht werden konnte, obwohl in den USA kein im Wesentlichen gleichwertiger Schutz gewährleistet ist wie in der EU. Zur Überbrückung dieser Systemunterschiede wurde das Safe-Harbor-Abkommen entwickelt. Nachdem das US-Handelsministerium am 21. Juli 2000 gewisse Prinzipien im Bereich Datenschutz festgelegt hatte, erließ die Europäische Kommission am 26. Oktober 2000 eine Entscheidung, nach der in den USA tätige Organisationen über ein angemessenes Datenschutzniveau verfügen, wenn sie sich gegenüber der Federal Trade Commission (FTC) öffentlich und unmissverständlich zur Einhaltung dieser der Prinzipien verpflichteten.
Auch wenn der Beitritt freiwillig erfolgte, waren die Unternehmen danach verpflichtet, sich an die Grundsätze des Safe Harbor zu halten und mussten dies der FTC jährlich mitteilen. Im Fall, dass ein Unternehmen gegen diese Grundsätze verstieß, konnte die FTC entsprechende Maßnahmen ergreifen, wie etwa die Datenverarbeitung zu stoppen oder Sanktionen zu verhängen.
Vernichtendes Urteil des EuGH: „Schrems I“
Schon lange vor dem Urteil wurde hinter vorgehaltener Hand darüber spekuliert, mit dem Urteil des EuGH vom 6. Oktober 2015 wurde es wahr: Das Safe-Harbor-Abkommen zwischen der EU-Kommission und den USA wurde für unwirksam erklärt.
Anlass für das Urteil des EuGHs war die Klage des Datenschutzaktivisten Maximilian Schrems gegen die irische Datenschutzbehörde. Die irische Niederlassung von Facebook hätte die Daten europäischer Nutzer nicht in die USA übertragen dürfen, da das Safe-Harbor-Abkommen nicht den EU-Standards entspreche. Laut Schrems hätte die Behörde seine Beschwerde gegen die Datenübermittlung von Facebook in die USA untersuchen müssen und verklagte diese. Infolgedessen legte das höchste Zivilgericht Irlands dem EuGH die Frage vor, ob die Safe-Harbor-Regelung die Datenschutzbehörde daran hindere, die von Schrems geforderte Überprüfung durchzuführen.
Der EuGH entschied, dass die EU-Kommission nicht befugt sei, die Kompetenzen der nationalen Datenschutzbehörden einzuschränken. Zusätzlich überprüfte der EuGH dabei die Rechtsgültigkeit des Safe-Harbor-Beschlusses und erklärte ihn für ungültig. Der Gerichtshof argumentierte, dass das Abkommen nicht effektiv sei, da zwar die US-Unternehmen, die Safe Harbor beigetreten sind, bestimmte Datenschutzstandards einhalten müssten, dies jedoch nicht für die amerikanischen Behörden gelte.
In seinem Urteil bezog sich der EuGH im Kern auf die Offenlegungen und Folgen des NSA-Skandals. Durch den Skandal wurde bekannt, dass von US-Stellen mehr oder weniger vorbehaltlos und massenhaft persönliche Daten aus allen möglichen Quellen gespeichert und ausgewertet werden konnten. Der Gerichtshof stellte fest, dass Safe Harbor den EU-Datenschutzbestimmungen nicht genügte, insbesondere weil es keine ausreichenden Schutzmaßnahmen gegen den Zugriff von US-Geheimdiensten auf die Daten europäischer Bürger gab. Hiergegen bestanden noch nicht einmal angemessene Rechtsschutzmöglichkeiten. Der Gerichtshof stellte klar, dass die Rechtsordnung der USA kein Schutz gewährleistete, der dem in der Union garantierten Niveau der Sache nach gleichwertig ist. Das Recht auf informationelle Selbstbestimmung wurde nicht gewahrt – sondern sogar de facto verletzt.
Damit konnte aufgrund dieser Verstöße ab dem Zeitpunkt des Urteils für einen Datenaustausch mit den USA nicht mehr auf Safe Harbor als Grundlage für die Übermittlung personenbezogener Daten zurückgegriffen werden. Das betraf ca. 4.000 in den USA ansässige Unternehmen, die unter dem Safe-Harbor-Abkommen Daten von EU-Bürgern in die USA transferierten.
Nachfolger von Safe Harbor: EU-U.S. Privacy Shield
Um die entstandene rechtliche Unsicherheit zu beheben und den transatlantischen Datenverkehr zu sichern, einigten sich die EU und die USA im Juli 2016 auf ein neues Abkommen. Das sogenannte EU-U.S. Privacy Shield diente als neue Grundlage für eine Datenübertragung in die USA. Dieses Abkommen sollte die Bedenken des EuGH aufgreifen und ein höheres Maß an Datenschutz bieten.
Das Privacy Shield führte mehrere Änderungen und Ergänzungen im Vergleich zu Safe Harbor ein: Die US-Unternehmen mussten sich verpflichten, striktere Datenschutzvorgaben einzuhalten, wobei die US-Regierung zusagte, den Zugriff auf personenbezogene Daten von EU-Bürgern stärker zu begrenzen. Darüber hinaus wurden diesmal Maßnahmen entwickelt, um die Einhaltung dieser Prinzipien zu kontrollieren und durchzusetzen. So sollten etwa EU-Bürger die Möglichkeit erhalten, sich bei einer unabhängigen Stelle über Verstöße zu beschweren. Dafür wurde ein Ombudsmann eingerichtet, um Beschwerden gegen den Datenzugriff durch US-Behörden zu bearbeiten.
Trotz all dieser Maßnahmen stoppte der EuGH am 16. Juli 2020 auch das EU-U.S. Privacy Shield.
Fazit
Mittlerweile gibt es einen dritten Versuch (das sogenannte EU-U.S. Data Privacy Framework) der Europäischen Kommission, um ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen. Seit der EU Datenschutz-Richtlinie von 1995 dürfen personenbezogene Daten jedoch nur dann in Länder außerhalb der EU übermittelt werden, wenn im Zielland ein „im Wesentlichen gleichwertiger“ Schutz besteht. Die EuGH-Entscheidungen zeigen, dass es eine dauerhafte Lösung nur geben wird, wenn die USA eine substantielle Änderung des US-Überwachungsrechts vornehmen.
Unternehmen sollten sich darauf einstellen, dass die regulatorischen Anforderungen weiterhin komplex und in Bewegung bleiben werden. Eine enge Zusammenarbeit mit Datenschutzexperten und eine kontinuierliche Überwachung der rechtlichen Entwicklungen sind unabdingbar, um Compliance zu gewährleisten und rechtliche Risiken zu minimieren.