Datenschutz – Safe-Harbor-Abkommen

Im Zuge der NSA-Affäre geriet die Datenübertragung in die USA und damit auch das Safe-Harbor-Abkommen wieder in die Schlagzeilen. In diesem Zusammenhang hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder darauf hingewiesen, dass die nationalen Aufsichtsbehörden die Datenübermittlung in die USA aussetzen können, wenn nach hoher Wahrscheinlichkeit die Grundsätze des Safe-Harbor-Abkommens verletzt werden.

Was ist das „Safe-Harbor-Abkommen“?

Das Safe-Harbor-Abkommen (übersetzt „Sicherer Hafen“) ist eine zwischen der EU und den USA im Jahre 2000 getroffene Vereinbarung, die den legalen Transfer personenbezogener Daten in die USA gewährleistet. Nach den Vorschriften des Art. 25 und Art. 26 der europäischen Datenschutzrichtlinie ist der Datentransfer in Drittstaaten, die keinen dem EU-Recht vergleichbaren Datenschutzstandard aufweisen, verboten. Zu diesen Drittstaaten zählt unter anderem auch die USA, da die dortigen Datenschutzvorschriften weit hinter denjenigen der EU zurück liegen.

Die Europäische Kommission ist dazu berechtigt, die Angemessenheit des Datenschutzniveaus in einem Drittland festzustellen (Art. 25 Abs. 6 Datenschutzrichtlinie). Für alle US-amerikanischen Unternehmen, die dem Safe-Harbor-Abkommen beigetreten sind, stellte sie das Vorliegen eines angemessenen Datenschutzniveaus fest. Durch das Safe-Harbor-Abkommen wird der gerade für Wirtschaftsunternehmen wichtige Datentransfer zwischen der EU und den USA ermöglicht.

Die sieben Prinzipien

Das Safe-Harbor-Abkommen beinhaltet einen Katalog mit sieben Prinzipien und 15 „häufig gestellten Fragen“ (Frequently Asked Questions – FAQ), deren Antworten ergänzende Erklärungen zu den Prinzipien enthalten. US-amerikanische Unternehmen, die der Aufsicht des Federal Trade Commission FTC (übersetzt „Bundeshandelskommission“) unterliegen, können sich freiwillig öffentlich dazu verpflichten, diese Prinzipien einzuhalten und die dazugehörenden „häufig gestellten Fragen“ zu beachten. Die beigetretenen Unternehmen werden anschließend auf der Internetseite des US-Handelsministeriums in einem Verzeichnis veröffentlicht. Um ein angemessenes Datenschutzniveau vorweisen zu können, müssen folgende Prinzipien eingehalten werden:

1. Informationspflicht der Unternehmen gegenüber den Betroffenen darüber, welche Daten sie für welche Zwecke erheben.
2. Wahlmöglichkeit der Betroffenen, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
3. Weitergabe der Daten an Dritte und die Wahlmöglichkeit (Punkt 2.) muss den Betroffenen mitgeteilt werden.
4. Zugangsrecht der Betroffenen auf die gespeicherten Daten und die Möglichkeit, diese zu berichtigen, ergänzen oder löschen.
5. Angemessene Sicherheitsvorkehrungen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
6. Sicherstellung der Datenintegrität durch die Unternehmen, d.h. dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
7. Verpflichtung der Unternehmen zum Beitritt zu Streitschlichtungsmechanismen, sodass die Betroffenen ihre Beschwerden und Klagen anbringen und gegebenenfalls Schadensersatz verlangen können.

Der Verstoß gegen Safe-Harbor-Grundsätze und die Konsequenzen

Bei Verstößen gegen die Grundsätze des Safe-Harbor kann die FTC einschreiten und beispielsweise die Datenverarbeitung stoppen. Außerdem können die Betroffenen Beschwerden und Klagen bei den jeweiligen Unternehmen einreichen.

Nach Auffassung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sind diese Grundsätze nun mit hoher Wahrscheinlichkeit verletzt, da sich die NSA und andere ausländische Geheimdienste – soweit bisher bekannt – Zugriff auf personenbezogene Daten, die von Unternehmen in Deutschland in die USA übermittelt werden, verschaffen. Die Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung wurden hierbei nicht gewahrt. Selbst die im Abkommen vorgesehene Regelung zur Begrenzung der Geltung der Safe-Harbor Vorschriften für den Fall, dass die nationale Sicherheit dies erfordert oder Gesetze derartige Ermächtigungen vorsehen, rechtfertigt nach Auffassung der Konferenz einen solch umfassenden und anlasslosen Zugriff auf personenbezogene Daten nicht.

Als Konsequenz hat die Konferenz die Bundesregierung aufgefordert, sicherzustellen, dass der unbeschränkte Zugriff ausländischer Geheimdienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der Safe-Harbor-Grundsätze begrenzt wird. Solange dies nicht gewährleistet ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (z.B. zur Nutzung bestimmter Cloud-Dienste) erteilen. Außerdem wird geprüft, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens auszusetzen sind.

Es ist jedoch fraglich, ob die nationalen Aufsichtsbehörden den grenzüberschreitenden Datentransfer nach dem Safe-Harbor-Abkommen durch die Verweigerung von Genehmigungen wirksam verhindern können. Dies ist jedoch zu verneinen, da das Safe-Harbor-Abkommen auf eine Entscheidung der EU-Kommission zurückgeht.

Fazit

Das Safe-Harbor-Abkommen ist aus datenschutzrechtlicher Sicht weiterhin kritisch zu sehen. Vor diesem Hintergrund und angesichts der fehlenden bzw. stark eingeschränkten Handlungsmöglichkeiten der deutschen Datenschutzbehörden ist Betriebsräten dringend zu empfehlen, den Datentransfer in Drittländer, insbesondere in die USA, in einer umfassenden Betriebsvereinbarung zu regeln. Diese sollte neben umfassenden Kontrollregelungen auch eine Auflistung von Vorgaben an den Vertrag über die Datenübermittlung zwischen der verantwortlichen Stelle, d.h. dem Arbeitgeber und dem Datenempfänger enthalten.