Safe Harbor ist ungültig – wie müssen Unternehmen sich künftig bezüglich des Datenschutzes verhalten?

Aktualisiert am 22. Februar 2023
von Markus Seyfferth
E-Business, Rechtliches

Als Safe Harbor wird eine Vereinbarung bezeichnet, die zwischen der EU und den USA im Jahr 2000 getroffen wurde. Hierbei handelt es sich im Detail um die Gewährleistung, dass personenbezogene Daten legal in die USA übermittelt werden können. Das Abkommen war von vornherein umstritten und sorgte für viele Diskussionen, bis der EuGH es schließlich für ungültig erklärte. Wir schauen auf die Rechtslage und klären die Frage, welche Auswirkungen das Urteil auf die Datenübermittlung hat.

#1. Safe Harbor – was steckt dahinter?

Gerade aufgrund der aktuellen Ereignisse ist das Thema “Safe Harbor” mit hoher Sorgfalt zu behandeln, wenn es um die Anwendung geht. Im Zweifelsfall sollte hierbei auch die aktuelle Fach-Berichterstattung zurate gezogen werden, darüber hinaus gibt es außerdem Handlungsempfehlungen der Aufsichtsbehörden. Denn mittlerweile gilt Safe Harbor nicht mehr als gültige Rechtslage für die Datenübermittlung in die USA.

In vielen Ländern Europas stellt der Datenschutz ein sensibles Thema dar – durch den Wegfall von Safe Harbor steigt die Verunsicherung abermals. Quelle: Statista

a. die Vereinbarung von 2000 im Detail

Safe Harbor war zwischen dem 06.07.2000 und dem 06.10.2015 eine bestehende Vereinbarung zwischen der EU und dem Handelsministerium der USA. Als Grundlage des Abkommens zählten die Vorschriften der Art. 25 und 26 der EU Datenschutzrichtlinie, die hier im Detail nachgeschlagen werden kann. Die Grundsätze des „sicheren Hafens“ besagen, dass ein Datentransfer in Drittstaaten verboten ist, sofern diese über kein vergleichbares Datenschutzniveau wie das des EU-Rechts verfügen. Dies trifft auch auf die USA zu und ab diesem Punkt greift das Abkommen: Denn Art. 25 Abs. 6 der Richtlinie sieht vor, dass die EU mithilfe einer Kommission feststellen kann, dass der Datenschutz eines Drittlandes dennoch angemessen ist. Hierfür müssen jedoch bestimmte Bedingungen erfüllt sein. Durch die Verpflichtung und eine Meldung an die Federal Trade Commission (FTC) konnten Unternehmen sich auf diese Weise selbst zertifizieren.

b. die 7 Prinzipien der Safe Harbor-Vereinbarung

Insgesamt unterscheidet die Safe Harbor-Vereinbarung 7 verschiedene Prinzipien, die ein angemessenes Datenniveau belegen sollen. Laut Bundesbeauftragtem für den Datenschutz und die Informationsfreiheit handelt es sich dabei um folgende Punkte:

Informationspflicht: Unternehmen müssen Betroffene darüber informieren, dass sie Daten erheben, zu welchem Zweck sie dies tun und welche Rechte die Betroffenen diesbezüglich haben.
Wahlmöglichkeit: Betroffene müssen die Möglichkeit haben, der Weitergabe ihrer Daten an Dritte zu widersprechen. Hierfür haben die jeweiligen Unternehmen zu sorgen.
Weitergabe: Gibt ein Unternehmen Daten an Dritte heraus, muss es Betroffene darüber und auch über den zuvor genannten Punkt unterrichten.
Zugangsrecht: Betroffenen muss es möglich sein, ihre gespeicherten Daten bei Bedarf einsehen zu können. Gegebenenfalls dürfen diese außerdem berichtigt, ergänzt oder gelöscht werden.
Sicherheit: Unternehmen haben dafür zu sorgen, dass angemessene Sicherheitsvorkehrungen zum Schutz der erhobenen Daten getroffen werden – sei es vor Zerstörung, Missbrauch oder unbefugtem Zugang.
Datenintegrität: Die erhobenen Daten müssen korrekt, vollständig und zweckdienlich erhoben werden.
Durchsetzung: Tritt ein Unternehmen dem Safe Harbor bei, so verpflichtet es sich zur Durchsetzung dieser Prinzipien. Darüber hinaus akzeptiert es Streitschlichtungsmechanismen, durch die es Betroffenen ermöglicht wird, ihre Beschwerden und Klagen untersuchen zu lassen. So kann ihnen gegebenenfalls auch Schadensersatz ausgezahlt werden.

c. Kritik an Datenübermittlung in die USA

Zwar ist die Anzahl teilnehmender Unternehmen stetig gestiegen, gleichzeitig geriet das Abkommen jedoch auch immer wieder in die Kritik. In regelmäßigen Abständen kam es vor, dass Unternehmen dem Programm zwar beitraten, die erforderliche Datenschutzverpflichtung jedoch nur mangelhaft oder sogar gar nicht vorweisen konnten. Das US-Handelsministerium führte diesbezüglich eine Liste, jedoch wurde auch diese nicht immer auf dem aktuellsten Stand gehalten. Sie konnte zeitweise also Unternehmen enthalten, die vielleicht gar nicht mehr Mitglied der Vereinbarung waren oder nicht einmal mehr existierten.

#2. Der Europäische Gerichtshof erklärt Safe Harbor für ungültig

Mit seinem Urteil gegen das Safe Harbor-Abkommen zum Datenaustausch zwischen der EU und den USA löste der Europäische Gerichtshof nicht nur ein juristisches Erdbeben, sondern auch jede Menge Verwirrung aus. Das Urteil wurde am 06. Oktober 2015 vollstreckt und erklärte die Safe Harbor Entscheidung aus dem Jahr 2000 ganz offiziell für ungültig.

Ins Rollen gebracht wurde der Prozess durch den österreichischen Kläger und Datenschutzaktivisten Maximilian Schrems. Dieser sah Faktoren wie Massenüberwachung und eine Verletzung der Grundrechte als mögliche Gefahren, die insbesondere durch Geheimdienste wie die NSA und von ihnen unterstützte Konzerne gebeugt würden.

Laut Schrems würden so außerdem Verfassungsbeschwerden gegen ähnliche Instrumente zum Ausspähen der Bevölkerung in EU-Ländern vereinfacht. Dementsprechend müsse das EU-Recht umfassend reformiert werden, sofern ein Datenaustausch zwischen der EU und den USA noch immer möglich sein soll.

a. Die Folgen des Urteils

Aufgrund der Entscheidung des Europäischen Gerichtshofs ist der Transfer personenbezogener Daten in die USA auf Grundlage des Abkommens nicht mehr möglich. Für betroffene Unternehmen besteht daher akuter Handlungsbedarf. Sie müssen überprüfen, ob von einem Transfer in die USA abzusehen ist oder stattdessen andere Instrumente gebraucht werden können. Infrage kämen stattdessen beispielsweise EU-Standardverträge oder Binding Corporate Rules (BCR). Sowohl die Datenschutzaufsichtsbehörden Deutschlands als auch in ganz Europa nahmen diesbezüglich intensive Prüfungen vor, inwieweit Safe Harbor trotz der Entscheidung des Europäischen Gerichtshofs angewandt werden konnte. Gerade für kleinere und mittelständische Unternehmen, die sich bisher auf Safe Harbor verlassen konnten und dementsprechend keine große Rechtsabteilung unterhalten, kann die Entscheidung allerdings weitreichende Konsequenzen haben. Selbiges gilt außerdem für deutsche Unternehmen, die auf Dienste amerikanischer Firmen zurückgreifen.

i. Frist bis Januar 2016

Was Unternehmen künftig rechtlich beachten müssen, lässt sich derzeit nur schwer abschätzen.

Bis zum 01.Februar gab es eine Schonfrist, in dieser Zeit sollten die Verantwortlichen eine neue Regelung finden. Die sogenannte Artikel-29-Gruppe setzte den Verhandlungspartnern dabei einen festen Zeitraum, um auf die Entscheidung des EuGH zu reagieren. Sollte bis dahin dennoch keine angemessene Lösung gefunden worden sein, so würden laut einer Mitteilung der Gruppe „alle notwendigen und angemessenen Maßnahmen ergriffen“, um das Recht der Verbraucher durchzusetzen. Dass die Frist bis Ende Januar eingehalten werden konnte, war jedoch bereits zu Beginn selbiger eher unwahrscheinlich – denn zwar verhandelten USA und EU bereits seit längerer Zeit über eine neue Version des Abkommens, doch nach Meinung von Datenschützern wäre dies lediglich durch eine wesentliche Änderung US-amerikanischer Gesetze möglich.

b. Rechtliche Sicherheit für deutsche Unternehmen

Aufgrund des ungültigen Safe Harbor-Abkommens ergibt sich für deutsche Unternehmen eine Reihe von Problemen, wenn es um die rechtliche Sicherheit geht. Geht es nach dem Institut der deutschen Wirtschaft (IW), so sind europaweit sogar tausende Firmen von den rechtlichen Folgen betroffen, sofern sie sich nicht um Alternativlösungen bemühen. Wer weiterhin mit amerikanischen Unternehmen zusammenarbeiten möchte oder künftig trotz allem personenbezogene Daten in die USA übermitteln mmuss, der kann und sollte dabei vor allem auf folgende Möglichkeiten setzen:

Binding Corporate Rules (BCR)

Bei den BCR handelt es sich um verbindliche Konzernregelungen zum Datenschutz. Sie sind allerdings nicht für jeden Anwender auch praxistauglich, da sie sowohl Vor- als auch Nachteile haben. So sind sie zwar sehr flexibel und lassen sich individuell anpassen, dafür kann die Umsetzung jedoch bis zu zwei Jahre dauern. Meist sind außerdem zusätzliche Verträge erforderlich und seitens der Aufsichtsbehörden werden sehr detaillierte und umfangreiche Anforderungen geprüft. Die Umsetzung kann demnach einen nicht zu unterschätzenden Kostenfaktor darstellen.

EU-Standardvertragsklauseln

Eine weitere Alternative stellen die EU-Standardvertragsklauseln dar, die nach aktuellem Urteil die beste Möglichkeit darstellen. Die EU-Kommission hat hierbei für die Übermittlung personenbezogener Daten in Drittländer festgelegt, wie sich ein angemessenes Datenschutzniveau sicherstellen lässt. Hierbei ist auf zahlreiche Punkte zu achten, weshalb ein fachkundiger externer Datenschutzbeauftragter in jedem Fall zur Bearbeitung des komplexen Vertragswerks zu empfehlen ist. Einen detaillierten Einblick in die Voraussetzungen und Bedingungen der EU-Standardvertragsklauseln gibt es hier.

i. Datenschutz wird in Deutschland großgeschrieben

Die wichtigsten Erkenntnisse des Life-Reports im Auftrag der Deutschen Telekom zum Thema Datensicherheit.

Generell wird der Datenschutz in Deutschland sehr ernst genommen, was nicht zuletzt auch an der stetig steigenden Anzahl erfasster Daten und datenverarbeitender Anwendungen aufgrund des Internets liegt. Auch in der Öffentlichkeit ist das Thema mittlerweile durchaus präsent. Nach einer Studie im Auftrag der Deutschen Telekom sind sich deutsche Unternehmen der Relevanz des Themas bewusst, demnach betrachten stolze 84 Prozent der Befragten die Bedeutung des Datenschutzes als wichtig oder sehr wichtig für Wirtschaft und Gesellschaft. Dieses Bewusstsein ist in allen Branchen und Unternehmensgrößen vertreten.

Zukünftig wird die Bedeutung des Datenschutzes noch weiter zunehmen, das glauben immerhin 70 Prozent der Befragten. Insbesondere große Unternehmen mit mindestens 250 Mitarbeitern sehen sich künftig mit der Relevanz des Datenschutzes konfrontiert, allen voran Unternehmen aus der Industrie.

Geht es um den Standort, so vertraut die Mehrzahl außerdem auf den rechtlichen Rahmen des Heimatlandes. 78 Prozent der Befragten stützen sich demnach bevorzugt auf die Verarbeitung ihrer Daten im Geltungsbereich des deutschen Datenschutzrechts.

Wie hoch der Datenschutz hierzulande gehandelt wird, lässt sich auch an zahlreichen anderen Stellen belegen. Allein die Datenschutzerklärung, die sich auf Internetseiten wiederfindet, ist hierzulande so umfangreich, dass sie sorgsam und bestenfalls sogar mit rechtlichem Beistand zu erstellen ist. Ein Blick auf die exemplarische Datenschutzerklärung von adlerwerbegeschenke.de zeigt, dass feste Bestandteile wie die genaue Erhebung der Daten, die Weiterverwendung oder aber besondere Kategorien wie Newsletter, Gewinnspiele, Webanalyse oder Kontaktformulare enthalten sein müssen, um den Nutzer hinreichend zu informieren.

Auch wichtige Punkte wie das Widerspruchsrecht dürfen an dieser Stelle nicht vergessen werden. Dass dem Datenschutz die korrekte Ausführung dieser Richtlinien sehr wichtig ist, zeigt sich auch an den teilweise empfindlichen Strafen: Denn wer seine Nutzer mittels Datenschutzerklärung nicht vollständig oder nicht richtig informiert, der begeht laut § 16 TMB eine Ordnungswidrigkeit – und die kann mit einem Bußgeld von bis zu 50.000 € geahndet werden.

#3. Das sagen die deutschen Aufsichtsbehörden

Durch das Urteil vom 06. Oktober 2015 entschied der EuGH, dass personenbezogene Daten künftig nicht mehr rechtmäßig in die USA übermittelt werden dürfen, sofern Unternehmen sich dabei auf Safe Harbor stützen. Auch die Bundesregierung und Datenschutzbeauftragten des Bundes haben sich mit dem Urteil auseinandergesetzt. Sie forderten in einem Positionspapier vom 26.Oktober 2015, dass angemessene Grundrechtstandards hinsichtlich der Privatsphäre und des Datenschutzes eingehalten werden müssen. Gleichzeitig gaben die Behörden zumindest vorläufig Entwarnung und waren größtenteils der Ansicht, dass personenbezogene Daten auf Grundlage der Standardvertragsklauseln, BCR oder Einwilligung der Betroffenen weiterhin ausgetauscht werden dürfen.
Allerdings ist nicht jede Behörde dieser Auffassung. Das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein erklärt stattdessen in einer Stellungnahme, dass auch die EU-Standardvertragsklauseln rein juristisch betrachtet ungültig sind. Im Detail ließen sie über ein Positionspapier folgendes verlauten:

Nach der Entscheidung des EuGH ist es für deutsche Unternehmen nicht mehr zulässig, personenbezogene Daten von US-Dienstleistern verarbeiten zu lassen oder in die USA weiterzuleiten.
Tut ein Unternehmen dies dennoch, so macht es sich strafbar. Hierbei nennt das ULD Bußgelder in einer Höhe von bis zu 300.000 €.

a. Stellungnahme der Bundesregierung

Zu diesem Zeitpunkt wurde auch die Bundesregierung um eine offizielle Stellungnahme gebeten. Auf Bitten der Fraktion DIE LINKE gab diese schließlich einige wichtige Aussagen an die Öffentlichkeit heraus, die im Folgenden zusammengefasst werden:

Alternative Rechtsgrundlagen wie EU-Standardverträge oder BCR kommen für die Übermittlung personenbezogener Daten in die USA in Betracht.
EU-Standardvertragsklauseln können ausschließlich vom EuGH als ungültig erklärt werden. Datenschutzbehörden der Mitgliedsstaaten können die Rechtmäßigkeit der Datenübermittlung jedoch jederzeit überprüfen.
Die Bundesregierung unterstützt das Ziel, schnellstmöglich ein neues Safe Harbor-Abkommen zu verabschieden. Auf diesem Weg soll Rechtssicherheit für Wirtschaft und Verbraucher erzielt werden. Die Verhandlungsparteien stehen dafür im stetigen Austausch miteinander.
Die Bundesbeauftragte für Datenschutz und Informationsfreiheit hat für das Jahr 2016 Personalverstärkung in Bezug auf die Aspekte erhalten, die sich aus den Folgen des Urteils ergaben.

#4. Frist abgelaufen – noch keine neuen Regelungen in Sicht

Mittlerweile ist das Ende der Datenschutzfrist erreicht, denn die Schonzeit von insgesamt drei Monaten ist vorbei. So lange hatten die europäischen Datenschützer Zeit, um einen Nachfolger für das Abkommen zu entwickeln. Anfang Februar hatten die Verantwortlichen allerdings noch keine Lösung, ein Sprecher der EU sagte laut eines Berichts von Standard.at lediglich, dass es „konstruktive, aber schwierige Gespräche“ gegeben habe. „Die Arbeit geht weiter, wir sind noch nicht da, aber die Kommission arbeitet Tag und Nacht, um einen Deal zu erreichen.“ Das Kernproblem ist diesbezüglich noch immer die Massenüberwachung, hierbei plädieren Netzaktivisten und Datenschützer für ein sehr striktes Vorgehen. Alexander Sander vom Bürgerrechtsverein Digitale Gesellschaft erklärte:

„Statt den Elefanten im Raum klar zu benennen und tiefgreifende Reformen bei den amerikanischen Überwachungsgesetzen einzufordern, eiert die EU-Kommission weiter rum. Daher sollten die europäischen Datenschutzbehörden nun den Druck erhöhen und entschlossen gegen rechtswidrige transatlantische Datentransfers vorgehen.“ (Quelle: https://digitalegesellschaft.de/2016/01/safe-harbor-reform-unausweichlich/)

Gleichzeitig haben sich insbesondere die Wirtschaftsverbände dafür ausgesprochen, eine Fristverlängerung in Erwägung zu ziehen. So solle den Unternehmen wenigstens die Chance gegeben werden, rechtskonform zu handeln. Problematisch wäre dies von nun an, da Unternehmen womöglich mit zusätzlichen Strafzahlungen belastet werden, nur weil der Politik keine fristgerechte Einigung gelungen ist.

a. Verstoßen Unternehmen nun gegen geltendes Recht?

Generell herrschte nach dem Ablauf der Frist eine gewisse Unsicherheit, welche Handlungen künftig noch rechtens und welche Bereiche bereits rechtlich kritisch sind. Für viele stellt sich nun die Frage, wann und wo ein Rechtsverstoß vorliegt und inwiefern sich dieser vermeiden lässt. Abgesehen von den oben erwähnten EU-Standardvertragsklauseln und den BCR müssen Betroffene sich allerdings noch für unbestimmte Zeit weiter gedulden.

i. Probleme im Social Media Bereich

Streng genommen wäre es wohl tatsächlich so, dass Dienste wie Google, Facebook oder Apple – also international operierende Unternehmen – nicht mehr legal operieren, denn sie arbeiten nicht nur mit den Daten der Nutzer und Verbraucher, sondern speichern diese auch. Und eben jener Speicherort liegt größtenteils in den USA, die seit dem 01.Februar nicht mehr zu den „sicheren Häfen“ gehören.

ii. Nutzer machen sich nicht strafbar

Nutzer müssen sich deshalb jedoch nicht bedroht fühlen, sie machen sich bei der Verwendung von Social Media nicht strafbar. Vielmehr geht es hierbei um den Schutz der Verbraucher, was im Grunde dem kompletten Gegenteil entspricht. Abgeschaltet werden müssen Dienste wie Twitter und Co. aber dennoch nicht, wie der Berliner Datenschutzbeauftragte Alexander Dix der Bild gegenüber sagte. Dafür kann nun jedoch jeder Nutzer seinen Datenschutzbeauftragten fragen, was mit seinen Daten in den USA passiert.

b. Baldige Lösung wird angestrebt

Aufgrund der Dringlichkeit des Themas und dem großen Einfluss, den Safe Harbor ehemals hatte, wird eine baldige Lösung des Datenschutzproblems angestrebt. Die Umsetzung kommt aufgrund der Differenzen zwischen USA und EU jedoch nur langsam voran. Dies ist vor allem insofern kritisch, da der Datentransfer auch eine enorme Relevanz für eine funktionierende Wirtschaft darstellt.

i. Privacy Shield soll Safe Harbor ersetzen

Mittlerweile steht fest, dass ein europäisch-amerikanischer Datenschutzschuld den transatlantischen Datenverkehr langfristig schützen und legalisieren soll. Das neue Abkommen liegt allerdings noch nicht vor – stattdessen hagelt es jedoch von etlichen Verbraucherschützern Kritik. Denn derzeit liegt lediglich ein Schriftstück vor, indem die US-Behörde versichert, dass Europäer künftig nicht mehr massenhaft überwacht werden. Tatsächlich liegen aktuell jedoch noch keinerlei verbindliche Vertragstexte vor, wie die Berichterstatter verwundert feststellen mussten. Eingangs erwähnter Datenschutzaktivist Maximilian Schrems, der den Stein ins Rollen brachte, äußert sich dazu laut wiwo.de folgendermaßen:

Fakt ist, dass Europäer trotz allen nach wie vor wenig Rechte beim Datenschutz in den USA haben. Zwar wird derzeit an einem Gesetz gearbeitet, andererseits haben die USA und Europa aber auch eine gänzlich andere Datenschutz-Kultur. Vor allem deshalb, weil Europa dank der Erfahrung mit Diktaturen sehr sensibel auf Themen reagiert, bei denen private Daten betroffen sind. Derzeit scheint es allerdings, als würden die Amerikaner sich vor allem darauf verlassen, am längeren Hebel zu sitzen.

Dies könnte jedoch ein Trugschluss sein, denn derzeit wäre es durchaus noch möglich und darüber hinaus auch nicht unwahrscheinlich, dass der Europäische Gerichtshof sich mit „Privacy Shield“ befassen und das Abkommen womöglich kippen wird.

In der nächsten Zeit werden sowohl Verbraucher als auch Unternehmen allerdings noch auf eine konkrete Antwort warten müssen. Denn die Verhandlungsführer der USA und Europäischen Union wollen (oder können) die genauen Inhalte erst in drei Monaten bekannt geben. Laut der offiziellen Pressemitteilung gibt es aber immerhin schon erste Punkte, die dabei in jedem Fall aufgegriffen werden sollen:

Strenge Datenschutzauflagen für US-Unternehmen, die Daten aus der EU verarbeiten
Klare Schutzmechanismen und Verpflichtungen für Zugriffsmöglichkeiten von staatlichen Einrichtungen, um die Transparenz zu erhöhen
Schutz der europäischen Bürger soll verbessert werden

Bild- und Grafikquellen:

Bild 1: bykst (CC0-Lizenz) © pixabay.com
Bild 2: © Statista 2016 Quelle: Symantec
Bild 3: Word-Grafik
Bild 4: Piktochart-Grafik
Bild 5: AJEL (CC0-Lizenz) © pixabay.com
Bild 6: Piktochart-Grafik
Bild 7: Piktochart-Grafik
Bild 8: Piktochart-Grafik

(dpe)

Markus Seyfferth

ist seit 2019 Geschäftsführer & WordPress-Entwickler bei Dr. Web. Zuvor war er sechs Jahre lang Vorstand des Smashing Magazine, im Rahmen dessen er u.a. das Online-Marketing, die Betreuung der Werbekunden sowie diverse Online-Projekte geleitet hat.

Lust auf mehr?

Aufgepasst: Digitale Zeiterfassung wird zur Pflicht für Unternehmen – EuGH

Die Arbeitszeiterfassungspflicht kommt. Ausnahmen für die Vertrauensarbeitszeit soll es weiterhin geben. Was Unternehmer jetzt wissen müssen. →

Zeitstrahl erstellen für interaktive E-Learning-Inhalte

Einen Zeitstrahl zu erstellen kann für verschiedene Lerninhalte eine wichtige Ergänzung sein. In der heutigen digitalen Welt sind E-Learning-Kurse ein wichtiger Bestandteil des Lernprozesses. Sie bieten den Lernenden die Möglichkeit, ihre Fähigkeiten zu verbessern und neue Fertigkeiten zu erwerben, ohne an einem physischen Ort anwesend sein zu müssen. Interaktive E-Learning-Inhalte können den Lernprozess jedoch auf eine neue Ebene heben.

PDF elektronisch unterschreiben: so signierst du rechtskräftig digital

Ein PDF kann heute auf jedem internetfähigen Gerät rechtsgültig elektronisch signiert werden. Was viele nicht wissen: Gesetzlich geregeltes elektronisches Signieren fühlt sich nicht an wie Unterschreiben im herkömmlichen Sinne. Es ist nicht das Schriftbild, das bei E-Signaturen die Beweiskraft in sich trägt.