Safe Harbor: Das Datenschutzabkommen und sein Ende

Safe Harbor war ein Datenschutzabkommen zwischen den USA und der EU. Es ermöglichte den internationalen Datentransfer in die USA als sogenanntes Drittland. Das Safe-Harbor-Abkommen wurde 2015 durch ein Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt.

Hintergrund: Was war Safe Harbor?

Seit dem 26. Juli 2000 bestand eine Vereinbarung zwischen der EU und dem Handelsministerium der USA (Department of Commerce) zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor). Diese Vereinbarung sollte ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die im Safe-Harbor-Abkommen vorgegebenen Grundsätze verpflichteten.

Zweck von Safe Harbor war es, dass personenbezogene Daten legal in die USA übermittelt werden konnten. Ausgangspunkt für diese Vereinbarung bildeten die Vorschriften der Art. 25 und 26 der europäischen Datenschutzrichtlinie (mittlerweile abgelöst durch die DSGVO), nach denen ein Datentransfer in Drittstaaten verboten war, die nicht über ein dem EU-Recht vergleichbares Datenschutzniveau verfügten. Hiervon waren auch die USA betroffen, da es dort keine dem europäischen Standard entsprechende Regelungen zum Datenschutz gab.

Um den Datenaustausch zwischen der EU und einem ihrer wichtigsten Handelspartner nicht zum Erliegen zu bringen, wurde deshalb nach einem Weg gesucht, wie ein Datentransfer in die USA ermöglicht werden konnte, obwohl dort kein dem Niveau der EU vergleichbarer Datenschutzstandard vorlag. Zur Überbrückung dieser Systemunterschiede wurde das Safe-Harbor-Modell entwickelt. Nachdem das US-Handelsministerium am 21. Juli 2000 gewisse Prinzipien im Bereich Datenschutz festgelegt hatte, erließ die Europäische Kommission am 26. Oktober 2000 eine Entscheidung, nach der in den USA tätige Organisationen über ein angemessenes Datenschutzniveau verfügen, wenn sie sich gegenüber der Federal Trade Commission (FTC) öffentlich und unmissverständlich zur Einhaltung dieser der Prinzipien verpflichteten.

Auch wenn der Beitritt freiwillig erfolgte, waren die Unternehmen danach verpflichtet, sich an die Grundsätze des Safe Harbor zu halten und mussten dies der FTC jährlich mitteilen. Im Fall, dass ein Unternehmen gegen diese Grundsätze verstieß, konnte die FTC entsprechende Maßnahmen ergreifen, wie etwa die Datenverarbeitung zu stoppen oder Sanktionen zu verhängen.

Vernichtendes Urteil des EuGH

Schon lange vor dem Urteil wurde hinter vorgehaltener Hand darüber spekuliert, mit dem Urteil des EuGH vom 6. Oktober 2015 wurde es wahr: Das Safe-Harbor-Abkommen zwischen der EU-Kommission und den USA wurde für unwirksam erklärt .

In seinem Urteil bezog sich der EuGH im Kern auf die Offenlegungen und Folgen des NSA-Skandals. Durch den Skandal wurde bekannt, dass von US-Stellen mehr oder weniger vorbehaltlos und massenhaft persönliche Daten aus allen möglichen Quellen gespeichert und ausgewertet werden konnten. Hiergegen bestanden noch nicht einmal angemessene Rechtsschutzmöglichkeiten. Der Gerichtshof stellte klar, dass damit ein dem Niveau der EU vergleichbares Datenschutzniveau in den USA nicht gegeben war. Das Recht auf informationelle Selbstbestimmung wurde nicht gewahrt – sondern sogar de facto verletzt.

Damit konnte ab dem Zeitpunkt des Urteils für einen Datenaustausch mit den USA nicht mehr auf Safe Harbor zurückgegriffen werden. Das betraf ca. 4.000 in den USA ansässige Unternehmen, die unter dem Safe-Harbor-Abkommen Daten von EU-Bürgern in die USA transferierten.

Nachfolger von Safe Harbor: EU-U.S. Privacy Shield

Nach dem Aus von Safe Harbor wurde das sog. EU-U.S. Privacy Shield als Mechanismus für eine Datenübertragung in die USA geschaffen. Im Kern wurde dieses „Schutzschild“ den Regelungen des Safe-Harbor-Abkommens nachempfunden und war deshalb bei Datenschützern von Anfang an umstritten.

Am 16. Juli 2020 kippte der EuGH auch das EU-U.S. Privacy Shield.

Neuer Versuch: Das EU-U.S. Data Privacy Framework

Mittlerweile gibt es den zweiten Nachfolger zu Safe Harbor – das EU-U.S. Data Privacy Framework.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.