Safe Harbor

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Mit Safe Harbor („Sicherer Hafen“) wurde eine besondere Datenschutz-Vereinbarung zwischen der Europäischen Union (EU) und den USA bezeichnet. Sie erlaubte europäischen Unternehmen personenbezogene Daten legal in die USA zu übermitteln.

Nach EU-Recht (EU-Datenschutzrichtlinie) ist es grundsätzlich verboten, personenbezogene Daten aus EU-Mitgliedsstaaten in andere Länder zu übertragen. Erst muss ein dem EU-Recht vergleichbares Datenschutzniveau hergestellt sein. Mit der USA wurde hierzu ein besonderes Verfahren (Safe Harbor) entwickelt. US-Unternehmen konnten Safe Harbor nach Anerkennung der enthaltenen Prinzipien entsprechend beitreten. Mehr als 1000 US-Unternehmen hatten diese Möglichkeit genutzt.

Auch die Schweiz hatte für den Datentransfer in die USA ein gleichwertiges Verfahren ausgearbeitet.

Entwicklung vom "Safe Harbor" zum "EU-US-Privacy-Shield"

Am 06. Oktober 2015 hatte der Europäische Gerichtshof (EuGH) das "Safe Harbor"-Abkommen zum Datenaustausch zwischen den USA und der EU für ungültig erklärt[1]. Grund ist, dass die persönlichen Daten der europäischer Nutzer in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt sind. Durch das Abkommen, so urteilten die Europäischen Richter, habe die EU-Kommission die Befugnisse der nationalen Datenschutzbehörden unzulässig beschränkt.

Als Alternativen für den Datenaustausch zwischen den USA und der EU wurden daraufhin die von der EU-Kommission freigegebenen Standardvertragsklauseln und die sogenannten Corporate Binding Rules favorisiert[2]. Eine auch mögliche Einwilligung der betroffenen Person ist an das Gebot der Transparenz, Freiwilligkeit und Widerrufbarkeit geknüpft und war daher sehr kompliziert zu handhaben.

Bei der Anwendung der von der EU-Kommission freigegebenen Standardvertragsklauseln war dann eine Genehmigung durch die Datenschutz-Aufsichtsbehörden in Deutschland entbehrlich, allerdings unterwirft sich der Empfänger des Datentransports im Nicht-EU-Ausland der Datenschutzaufsicht des Partnerlandes. Bei den Corporate Binding Rules unterwirft sich ein internationaler Konzern verbindlich den Datenschutzregeln eines Standortlandes, in diesem Fall natürlich den Regeln des EU-Datenschutzes.

Insgesamt nicht direkt betroffen von dieser Situation waren solche Fälle, in denen europäische Endnutzer eine direkte Vertragsbeziehung mit US-Unternehmen eingingen.

Der amerikanische Cloud-Anbieter Salesforce hatte bereits so reagiert und stellte seinen Nutzern einen Appendix zur Verfügung, welcher die von der EU-Kommission freigegebenen Standardvertragsklauseln als Musterklauseln integrierte.

Allerdings ist juristisch nicht sicher, ob die Alternativen auch dauerhaft gültig sein würden[3][4]. Die Datenschutzbehörden räumten zunächst eine Schonfrist bis zum 31. Januar 2016 ein[5][6][7]. Neue Rechtsunsicherheit für internationalen Datenaustausch entsteht durch die Vorlage der Standardvertragsklauseln beim Europäischen Gerichtshof (EuGH)[8].

EU-US-Privacy-Shield

Verhandlungen über einen neuen und sicheren Rahmen für die Übermittlung personenbezogener Daten führten dann Anfang Februar 2016 zu einer Einigung zwischen der EU-Kommission und der US-Regierung über ein neues Abkommen mit der Bezeichnung "EU-US-Privacy-Shield"[9]. Die wesentlichen 3 Punkte sind:

  • Das US-Handelsministerium überwacht die Firmen, die Daten aus Europa verarbeiten. Bei Verstößen müssen die Unternehmen mit Sanktionen bis hin zur Streichung von der Liste rechnen.
  • Die US-Regierung hat die wahllose Massenüberwachung persönlicher Daten der EU ausgeschlossen. Dazu sagte die US-Seite eine Aufsicht der eigenen Justiz- und Sicherheitsbehörden zu.
  • EU-Bürger sollen im Rahmen des EU-US-Privacy-Shields neue Möglichkeiten erhalten, sich gegen unbefugte Zugriffe auf ihre Daten zu wehren. In einem Beschwerdeverfahren können sie u.a. mit Unterstützung eines Ombudsmanns gegen Datenschutzverstöße vorgehen.

Das Abkommen wird von der Federal Trade Commission (FTC) überwacht und jährlich von der EU-Kommission evaluiert.

Das neue Abkommen muss noch vom US-Kongress verabschiedet werden. Dazu muss der US-Kongress den "Judicial Redress Act" verabschieden, der Europäern ein Klagerecht in den USA einräumt.

Als Reaktion wurde das Abkommen von verschiedenen Seiten kritisiert (TeleTrusT[10]). Die EU-Datenschutzbehörden (Artikel-29-Datenschutzgruppe - WP29) haben eine Prüfung angekündigt. Bis zu einer abschließenden Entscheidung betrachteten sie auch die EU-Standardvertragsklauseln und Binding Corporate Rules vorerst als weiterhin anwendbare Übermittlungsgrundlage für Datentransfers in die USA[11].

Nachdem die EU-Mitgliedstaaten am 08. Juli 2016 den Entwurf für die neue Datenschutzvereinbarung mit breiter Mehrheit unterstützt hatten, hat die EU-Kommission am 12. Juli das sogenannte "EU-US-Privacy Shield" formell angenommen. In der nun verabschiedeten Form fand das Abkommen breite Zustimmung[12]. Die Artikel-29-Gruppe hat aber immer noch Datenschutzbedenken, will aber erste gemeinsame jährliche Prüfung abwarten[13].

Einen Monat nach Inkrafttreten des "EU-US-Privacy Shield" haben sich bereits über 100 US-Unternehmen entsprechend verpflichtet. Anhand einer Webseite kann man prüfen, ob der amerikanischen Partner zertifiziert ist. Auch große IT-Firmen sind bereits aufgeführt, so beispielsweise Microsoft und Salesforce[14]. Auch Google hat seine Zertifizierung schon eingereicht.

Mit dem vom neuen US-Präsidenten Trump unterzeichneten präsidialen Erlass zur "Verbesserung der öffentlichen Sicherheit" steht das EU-US-Privacy-Shield wieder auf der Kippe, da dieser Erlass Nicht-US-Bürger von den Datenschutzbestimmungen (Privacy Act) wieder weitestgehend ausschließt. Viele Datenschützer sind der Meinung, das damit das Datenschutzabkommen obsolet geworden ist.


Weblinks


Einzelnachweis

  1. SecuPedia Aktuell vom 06.10.2015: Bitkom zur EuGH-Entscheidung zum Safe Harbor Abkommen
  2. SecuPedia Aktuell vom 09.10.2015: Datenübermitlung laut EU-Kommission auch nach EuGH-Urteil möglich
  3. SecuPedia Aktuell vom 06.11.2015: Safe Harbour: Kommission legt Leitlinien für transatlantische Datenübermittlungen vor
  4. SecuPedia Aktuell vom 10.11.2015: Bitkom warnt vor den Folgen des Safe Harbor Urteils
  5. SecuPedia Aktuell vom 30.11.2015: Neues Safe-Harbor-Abkommen mit den USA bis Ende Januar
  6. SecuPedia Aktuell vom 27.01.2016: Bitkom: Alternativen zu Safe Harbor müssen erhalten bleiben
  7. SecuPedia Aktuell vom 20.11.2015: Safe Harbor: 5 Tipps, die Unternehmen jetzt beachten müssen
  8. SecuPedia Aktuell vom 09.10.2017: Neue Rechtsunsicherheit für internationalen Datenaustausch
  9. SecuPedia Aktuell vom 03.02.2016: Nachfolgeregelung für Safe Harbor: Positives Echo
  10. SecuPedia Aktuell vom 03.02.2016: TeleTrusT: Kritik am "Privacy Shield"
  11. SecuPedia Aktuell vom 04.02.2016: EU-US Privacy Shield: Statement der Artikel29-Gru
  12. SecuPedia Aktuell: Bitkom: "Privacy Shield schafft Rechtssicherheit für Datentransfers"
  13. SecuPedia Aktuell: Artikel-29-Gruppe: Durch EU-US Privacy Shield nicht alle Bedenken ausgeräumt
  14. SecuPedia Aktuell: EU-US-Datenschutzschild: Bereits 103 US-Unternehmen haben sich verpflichtet


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 11. Oktober 2017 um 22:22 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Ralf Schulze, Peter Hohl und Admin.

Anzeigen