Safe Harbor

Datenschutzkonzept

erstellt am 26.09.18

Das Safe Harbor Abkommen

Das Datenschutz-Abkommen zwischen den USA und der EU wurde mittlerweile durch das Safe Harbor Urteil des Europäischen Gerichtshofs (EuGH) außer Kraft gesetzt. Bei uns erfahren Sie, worum es dabei ging und wie der Datenschutz zwischen den Ländern seitdem geregelt wird.

Safe Harbor – was war das?

Bei „Safe Harbor“ handelte es sich um ein Abkommen, das zwischen der EU-Kommission und den USA zugunsten des Datenschutzes vereinbart wurde. Hintergrund dieses Abkommens war die damalige EU-Datenschutzrichtlinie, die später durch die Datenschutzgrundverordnung abgelöst wurde. Laut dieser Richtlinie war es nicht zulässig, personenbezogene Daten an ein Drittland weiterzugeben, das keinen entsprechenden Datenschutz sicherstellen konnte. Da der Datenschutz in den USA als mangelhaft und nicht ausreichend erachtet wurde, musste mit dem Safe Harbor Abkommen eine Regelung her, die den rechtskonformen Datenverkehr zwischen beiden Seiten gewährleisten sollte.

Safe Harbor Abkommen: Welche Inhalte gab es?

Damit ein Unternehmen personenbezogene Daten an die USA weitergeben durfte, musste es öffentlich erklären, dass es sich an die Richtlinien des Safe Harbor Abkommens hält. Eine Zertifizierung war in diesem Zusammenhang jedoch nicht erforderlich. Insgesamt beinhaltete Safe Harbor sieben Prinzipien, die es einzuhalten galt:

  • Informationspflicht

Betroffene Personen mussten über die Erhebung und Verarbeitung ihrer Daten informiert werden.

  • Wahlmöglichkeit

Den Inhabern der Daten musste das Recht eingeräumt werden, bestimmten Datennutzungen widersprechen zu können.

  • Sicherheit

Das Unternehmen, das die personenbezogenen Daten speichert und verarbeitet, musste dafür Sorge tragen, dass eine gewisse Datensicherheit gewährleistet wird.

  • Weitergabe an Dritte

Bevor ein Unternehmen die gespeicherten Daten an Dritte weitergeben durfte, musste die betreffende Person darüber informiert werden. Zeitgleich hatte diese Person das Recht, Widerspruch gegen die Weitergabe einzulegen.

  • Auskunftsrecht

Die Person, deren Daten gespeichert wurden, hatte das Recht, Auskunft über diese Daten zu erhalten sowie Anspruch auf Änderung oder Löschung.

  • Datenintegrität

Das Unternehmen musste sicherstellen, dass alle Daten korrekt und vollständig waren.

  • Durchsetzung

Die betroffene Person hatte das Recht, eine entsprechende Stelle einzubinden, um die Einhaltung der geltenden Grundsätze durchzusetzen, wenn nötig auch mit entsprechenden Sanktionen.

Zusätzlich gab es eine Liste des US-Handelsministeriums, in die das Unternehmen aufgenommen wurde, wenn es die Grundsätze des Safe Harbor Abkommens akzeptierte. Der Vorgang glich einer Art Selbstzertifizierung, da das Ministerium die Einhaltung der Richtlinien nicht überprüft hatte. Aufgrund der mangelnden Überprüfung dieser Unternehmen und der damit verbundenen Einhaltung der Regelungen wurde das Safe Harbor Abkommen besonders von Datenschützern stark kritisiert. Ein weiterer Kritikpunkt war, dass es staatlichen Behörden in den USA erlaubt ist, auf personenbezogene Daten zuzugreifen, ohne dass die Betroffenen davon etwas erfahren.

Die Abschaffung des Safe Habor Abkommen

Nach all dieser Kritik während der Gültigkeit von Safe Harbor zwischen den Jahren 2000 und 2015 wurde das Abkommen mit dem Safe Harbor Urteil durch den EuGH  im Oktober 2015 außer Kraft gesetzt. Grundlage hierfür war die Tatsache, dass das vorherrschende Datenschutzniveau in den USA nicht dem der EU gleichzusetzen ist und erhebliche Mängel aufweist. Für die Übermittlung personenbezogener Daten in die USA wurde stattdessen eine Nachfolgeregelung vereinbart.

Die Vereinbarung „EU-US Privacy Shield“ trat 2016 in Kraft und sieht im Gegensatz zum Safe Harbor Abkommen einige Verbesserungen in Sachen Datenschutz vor. Darunter zum Beispiel die Einrichtung einer speziellen Stelle im US-Außenministerium, die sich um Beschwerden von EU-Bürgern kümmert, sowie eine genauere Definition der Informationspflichten.