Kündigung des Safe-Harbor-Abkommens führt zu Datenschutz-Vakuum

21.01.2014

Die GDD sieht jedoch durch die unmittelbare Kündigung von Safe Harbor die Gefahr eines Datenschutz-Vakuums für transatlantische Datenübermittlungen.

Safe Harbor, der "sichere Hafen", wurde im Jahr 2000 nach zweijährigen Verhandlungen zwischen der EU und den Vereinigten Staaten ins Leben gerufen, um gewährleisten zu können, dass die Übermittlung personenbezogener Daten aus der EU in die USA, trotz der Existenz zweier unterschiedlicher Datenschutz-Systeme, rechtskonform von statten gehen kann.

Über die Jahre sah sich das Safe-Harbor-Abkommen vermehrt Kritiken ausgesetzt, so vor allem seitens der hiesigen Aufsichtsbehörden zum Datenschutz. Grund hierfür lag in der Annahme, dass US-Unternehmen, die sich den Vorgaben von Safe Harbor verpflichtet haben, diese nicht adäquat umsetzen würden. Als Reaktion auf die geäußerten Zweifel zu Safe Harbor veröffentlichte der Düsseldorfer Kreis im Jahre 2010 einen Beschluss zum Abkommen, in dem er Unternehmen aufforderte, bestimmte Aspekte von Safe Harbor beim US-amerikanischen Geschäftspartner zu prüfen. Ebenso veröffentlichte die EU-Kommission im November des vergangenen Jahres dreizehn Empfehlungen, um das bestehende Abkommen zu verbessern.

Die Bestrebungen seitens der Aufsichtsbehörden und der EU-Kommission sind grundsätzlich zu begrüßen, um verlorenes Vertrauen in die Safe-Harbor-Vereinbarung zurückzugewinnen. Hierzu sind verstärkte Anforderungen an Prüfplichten europäischer Unternehmen ebenso geeignet, wie erweiterte Informationspflichten der über Safe-Harbor zertifizierten US-Unternehmen.

Die GDD gibt jedoch zu Bedenken, dass die Konsequenzen einer unmittelbaren Kündigung von Safe Harbor weitreichend wären.

Zahlreiche Unternehmen nutzen das Regelwerk, um beim Datenimporteur ein angemessenes Datenschutzniveau herzustellen. Fällt dieses angemessene Datenschutzniveau weg, sind Datenweitergaben im Zeitpunkt der Kündigung als unzulässig einzustufen. Unternehmen wären gezwungen, innerhalb kürzester Zeit alternative Garantien zugunsten Betroffener zu schaffen, so beispielsweise über die Standardvertragsklauseln oder verbindliche Unternehmensregelungen. Diese Instrumentarien sind jedoch bis zur endgültigen Implementierung mit einem in der Regel hohen Zeitaufwand verbunden. Ebenso decken diese Garantien lediglich einzelne Datenübermittlungen ab oder beziehen sich nur auf einen Konzernverbund. Mit einer Kündigung von Safe-Harbor würden hiesige Unternehmen in eine Illegalität gedrängt, die zunächst nur durch ein Aussetzen der Datenübermittlungen unmittelbar geheilt werden könnte. Ein solches unmittelbares Aussetzen ist jedoch gerade im Rahmen der arbeitsteiligen IT-Organisation von weltweit agierenden europäischen Unternehmen praktisch nicht umsetzbar.

Aus den genannten Gründen rät die GDD, die bereits eingeleiteten Maßnahmen zur Stärkung des Abkommens fortsetzen, anstatt dieses vollständig aufzukündigen. Hiesige Unternehmen sind auf das Vorhandensein ausgereifter Schutzmechanismen angewiesen, um transatlantische Datenströme legitimieren können. Im Zuge dessen sollte die EU die andauernden Verhandlungen um ein Freihandelsabkommen mit den USA dazu nutzen, das bestehende Regelungsinstrument Safe-Harbor zu neuem Leben zu erwecken.

(Foto:fotolia/VRDD)