datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Safe Harbor: Ein sicherer Hafen für europäische Daten?

  • Von Louisa N.
  • Letzte Aktualisierung am: 25. August 2024
Geschätzte Lesedauer: 4 Minuten

Das Wichtigste zu Safe Harbor in Kürze

  • Safe Harbor ist ein Datenschutz-Abkommen zwischen den USA und der EU-Kommission, das zwischen 2000 und 2015 Anwendung fand.
  • Es regelte die Einhaltung von Datenschutz-Grundsätzen, zu welchen US-Unternehmen sich öffentlich bekennen mussten, damit das Schutzniveau als äquivalent zum europäischen Datenschutz angesehen wurde.
  • 2015 erklärte der Europäische Gerichtshof das Abkommen in einem Urteil für ungültig. Inzwischen wurde eine Nachfolgeregelung namens „Privacy Shield“ ausgehandelt und in Kraft gesetzt.

Was ist Safe Harbor?

Safe Harbor: Stellen amerikanische Unternehmen einen sicheren Hafen für europäische Daten dar?
Safe Harbor: Stellen amerikanische Unternehmen einen sicheren Hafen für europäische Daten dar?

Safe Harbor ist ein Abkommen, das zwischen der EU und den USA zwischen 2000 und 2015 bestand. Es handelt sich hierbei konkret um einen Beschluss der Europäischen Kommission auf der Grundlage eines Verfahrens des US-Handelsministeriums.

Der Hintergrund: Nach der EU-Datenschutzrichtlinie, die damals als Vorläufer der Datenschutzgrundverordnung (DSGVO) in Kraft war, war eine Übermittlung von personenbezogenen Daten in ein Drittland nicht zulässig, wenn dort kein angemessenes Datenschutzniveau gewährleistet ist (Artikel 25) – auch die DSGVO enthält eine solche Vorschrift.

Bei den USA tritt dieser Fall des mangelhaften Schutzes ein: Der US-Datenschutz gilt als unzureichend. Gemäß Artikel 26 waren jedoch Ausnahmen von der Regelung möglich. Eine solche wurde mit diesem Datenschutzabkommen zwischen den USA und der EU geschaffen. Safe Harbor sollte somit Rechtssicherheit für den Datenverkehr zwischen beiden Seiten herstellen.

Safe-Harbor-Prinzipien

Damit personenbezogene Daten in die USA übermittelt werden durften, mussten die entsprechenden Unternehmen an Safe Harbor teilnehmen. Es gab aber bei Safe Harbor keine externe Zertifizierung. Unternehmen, die unter diese Regelung fallen wollten, mussten lediglich öffentlich erklären, sich an die vom Handelsministerium aufgestellten Prinzipien zu halten.

Die Safe-Habor-Prinzipien sollten für eine Angleichung des amerikanischen Datenschutzes auf EU-Niveau sorgen.
Die Safe-Habor-Prinzipien sollten für eine Angleichung des amerikanischen Datenschutzes auf EU-Niveau sorgen.

Die sieben Grundsätze, an die sich laut der Safe-Harbor-Regelung ein Unternehmen halten muss, sind folgende:

  1. Informationspflicht: Betroffene müssen über die erhobenen Daten und den Verwendungszweck unterrichtet werden
  2. Wahlmöglichkeit: Betroffene müssen anderen Nutzungen auch widersprechen können
  3. Weitergabe: Vor einer Weitergabe an Dritte muss der Betroffene unterrichtet werden und die Möglichkeit zum Widerspruch (siehe zweiten Punkt) erhalten
  4. Sicherheit: Das Unternehmen muss für eine ausreichende Datensicherheit der gespeicherten Informationen sorgen
  5. Datenintegrität: Die erhobenen Daten müssen richtig und vollständig sein
  6. Auskunftsrecht: Der Betroffene muss gegenüber dem Unternehmen die Möglichkeit haben, eine Auskunft über die gespeicherten Daten zu bekommen und sie gegebenenfalls ändern oder löschen zu lassen
  7. Durchsetzung: Betroffene müssen sich bei Beschwerden an eine geeignete Stelle wenden können, die ihrerseits die Einhaltung der Prinzipien auch mit Sanktionen durchsetzen kann

Mit der Anerkennung der Datenschutz-Grundsätze von Safe Harbor wurden Unternehmen in eine Liste des US-Handelsministeriums aufgenommen. Es handelte sich hierbei um eine Selbstzertifizierung, weil die Umsetzung der Prinzipien vom Ministerium nicht überprüft wurde.

Den in der Liste enthaltenen Unternehmen wurde mit dem Safe-Harbor-Beschluss der Europäischen Kommission ein ausreichendes Datenschutzniveau zugeschrieben. Eine Übermittlung von personenbezogenen Daten aus Europa in die USA wurde damit rechtlich möglich.

Genau genommen handelte es sich also nicht um ein bilaterales Abkommen, sondern um einen Beschluss von europäischer Seite, der unter den Bedingungen von Safe Harbor den Datenschutz in den USA für äquivalent mit den europäischen Regelungen erachtete.

Kritik an der Safe-Harbor-Regelung

Das Safe-Harbor-Abkommen sah sich breiter Kritik ausgesetzt, weil etwa ein staatlicher Zugriff nicht verhindert würde.
Das Safe-Harbor-Abkommen sah sich breiter Kritik ausgesetzt, weil etwa ein staatlicher Zugriff nicht verhindert würde.

Safe Harbor sah sich breiter Kritik ausgesetzt. So monierten Datenschützer unter anderem, dass das ganze Verfahren auf der Behauptung der Unternehmen fuße, gewisse Standards einzuhalten, ohne dass deren Einhaltung auch gewährleistet und überprüfbar sei.

Zudem wurde Safe Harbor zum Teil als gegenstandslose Vereinbarung kritisiert, da die Gesetzeslage in den USA (etwa durch den USA PATRIOT Act) staatlichen Behörden ohne Wissen des Betroffenen den Zugriff auf gespeicherte Daten erlaubt. Nach den Snowden-Enthüllungen, die das Ausmaß der Überwachungsmaßnahmen seitens der USA zeigte, wurde die bereits bestehende Kritik an Safe Harbor immer lauter.

Das Ende der Vereinbarung: Safe-Harbor-Urteil 2015

Der gängigen Praxis setzte der Europäische Gerichtshof (EuGH) mit dem Safe-Harbor-Urteil im Oktober 2015 ein Ende. Dem vorausgegangen war eine Klage des österreichischen Datenschutzaktivisten Maximilian Schrems, der bei der irischen Datenschutzbehörde Beschwerde gegen Facebook einlegte, weil er keinen hinreichenden Schutz für seine Daten auf US-amerikanischen Servern sah.

Die Behörde berief sich auf das Safe-Harbor-Abkommen, das den Datenschutz der registrierten Unternehmen für äquivalent mit dem europäischen Niveau erklärt. Daraufhin ließ der irische High Court vor dem EuGH prüfen, ob eine nationale Datenschutzbehörde unabhängig von der Safe-Harbor-Entscheidung der Kommission eine Beschwerde prüfen und das Datenschutzniveau in diesem Fall als unzureichend bewerten kann.

Wie urteilte das Gericht?

Der EuGH folgte in seinem Urteil der Schlusserklärung des Generalanwalts und erklärte das Safe-Harbor-Abkommen insgesamt für ungültig. Ein gleichwertiges Schutzniveau in den USA und der EU sei durch Safe Harbor nicht gewährleistet, weil es dort an entsprechenden Rechtsvorschriften und Verpflichtungen mangele.

Das Safe-Harbor-Urteil des EuGH erklärte das Abkommen mit den USA für ungültig.
Das Safe-Harbor-Urteil des EuGH erklärte das Abkommen mit den USA für ungültig.

Des Weiteren seien keine ausreichenden Rechtsschutzmöglichkeiten für EU-Bürger gegeben, die wirksam für einen Zugang und gegebenenfalls eine Korrektur oder Löschung der personenbezogenen Daten sorgen könnten. Außerdem könne der Beschluss der Kommission nicht die Zuständigkeit der Datenschutzbehörden aushebeln, die Anforderungen selbst zu prüfen.

Zudem wies das Gericht auf die grundsätzliche Gefährdung der Grundrechte europäischer Bürger hin, da die Rechtslage in den USA weite Überwachungsbefugnisse von staatlichen Stellen vorsehe.

Nach dem Urteil: Der Safe-Harbor-Nachfolger „Privacy Shield“

Nach der Aushebelung von Safe Harbor durch den EuGH wurde von der EU-Kommission zur Wiederherstellung der Rechtssicherheit bei der Übermittlung von personenbezogenen Daten in die USA eine Nachfolgeregelung ausgehandelt.

2016 trat die Vereinbarung mit dem Namen EU-US Privacy Shield in Kraft. Als direkte Reaktion auf das EuGH-Urteil sieht sie Verbesserungen in den bemängelten Punkten vor. So wurde eine von den Geheimdiensten unabhängige Ombudsstelle im US-Außenministerium eingerichtet, die Beschwerden von EU-Bürgern bearbeiten kann. Zudem wurden die Anforderungen an den Datenschutz verglichen mit Safe Harbor verschärft und etwa die Informationspflichten genauer definiert.

Trotz der Verbesserungen, die das neue Abkommen zwischen der EU und den USA mit sich bringt, kritisieren Datenschützer, dass weiterhin kein ausreichendes Schutzniveau für die personenbezogenen Daten von EU-Bürgern gewährleistet sei. Insbesondere die umfangreichen Zugriffsrechte staatlicher Stellen bleiben problematisch.
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (55 Bewertungen, Durchschnitt: 4,00 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

female author icon
Louisa N.

Louisa hat Informatik an der Hochschule für Technik und Wirtschaft in Berlin studiert und mehrere Jahre im Bereich IT-Sicherheit gearbeitet. Seit 2018 ist sie Redakteurin bei datenschutz.org und unterstützt unser Team mit ihrer Expertise. Ihre Texte befassen sich u. a. mit Themen wie Datenlöschung und Datenrettung.

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.