Safe Harbor vor dem Europäischen Gerichtshof

24.09.2015

Der EuGH hat im Verfahren des Österreichers Max Schrems gegen die irische Datenschutzaufsichtsbehörde zu entscheiden, ob das Safe Harbor Abkommen aus dem Jahre 2000 noch ein legitimes Instrument zur Übermittlung personenbezogener Daten in die USA darstellt.

Sollte der EuGH das Abkommen durch die Entscheidung des EuGH für ungültig erklären und damit dem  Schlussantrag des Generalanwalts des EuGH Yves Bot vom vergangenen Mittwoch folgen, sieht die GDD die Gefahr eines Datenschutz-Vakuums für transatlantische Datenübermittlungen.

Safe Harbor, der "sichere Hafen", wurde im Jahr 2000 nach zweijährigen Verhandlungen zwischen der EU und den Vereinigten Staaten ins Leben gerufen, um gewährleisten zu können, dass die Übermittlung personenbezogener Daten aus der EU in die USA, trotz der Existenz zweier unterschiedlicher Datenschutz-Systeme, rechtskonform von statten gehen kann.

Über die Jahre sah sich das Safe Harbor-Abkommen vermehrt Kritiken ausgesetzt, so vor allem seitens der hiesigen Aufsichtsbehörden zum Datenschutz. Grund hierfür lag in der Annahme, dass US-Unternehmen, die sich den Vorgaben von Safe Harbor verpflichtet haben, diese nicht adäquat umsetzen würden. Als Reaktion auf die geäußerten Zweifel zu Safe Harbor veröffentlichte der Düsseldorfer Kreis im Jahre 2010 einen Beschluss zum Abkommen, in dem er Unternehmen aufforderte, bestimmte Aspekte von Safe Harbor beim US-amerikanischen Geschäftspartner zu prüfen. Ebenso veröffentlichte die EU-Kommission im November des vergangenen Jahres dreizehn Empfehlungen, um das bestehende Abkommen zu verbessern.

Die Bestrebungen seitens der Aufsichtsbehörden und der EU-Kommission sind grundsätzlich zu begrüßen, um verlorenes Vertrauen in die Safe Harbor-Vereinbarung zurückzugewinnen. Hierzu sind verstärkte Anforderungen an Prüfplichten europäischer Unternehmen ebenso geeignet, wie erweiterte Informationspflichten der über Safe-Harbor zertifizierten US-Unternehmen.

Die GDD gibt jedoch zu Bedenken, dass die Konsequenzen einer unmittelbaren Kündigung von Safe Harbor weitreichend wären.

Zahlreiche Unternehmen nutzen das Regelwerk, um beim Datenimporteur ein angemessenes Datenschutzniveau herzustellen. Fällt dieses angemessene Datenschutzniveau weg, sind Datenweitergaben im Zeitpunkt der Kündigung als unzulässig einzustufen. Unternehmen wären gezwungen, innerhalb kürzester Zeit alternative Garantien zu Gunsten Betroffener zu schaffen, so beispielsweise über die Standardvertragsklauseln oder verbindliche Unternehmensregelungen. Diese Instrumentarien sind jedoch bis zur endgültigen Implementierung mit einem in der Regel hohen Zeitaufwand verbunden. Ebenso decken diese Garantien lediglich einzelne Datenübermittlungen ab oder beziehen sich nur auf einen Konzernverbund. Mit einer Kündigung von Safe Harbor würden hiesige Unternehmen in eine Illegalität gedrängt, die zunächst nur durch ein Aussetzen der Datenübermittlungen unmittelbar geheilt werden könnte. Ein solches unmittelbares Aussetzen ist jedoch gerade im Rahmen der arbeitsteiligen IT-Organisation von weltweit agierenden europäischen Unternehmen praktisch nicht umsetzbar.

Aus den genannten Gründen rät die GDD, die bereits eingeleiteten Maßnahmen zur Stärkung des Abkommens fortzusetzen, anstatt dieses vollständig aufzukündigen. Dies sollte insbesondere im Kontext der Verabschiedung einer EU-Datenschutz-Grundverordnung erfolgen, zumal das bestehende Safe Harbor Abkommen noch auf den Vorgaben der Richtlinie 95/46/EG basiert und entsprechend erneuerungsbedürftig ist. Hiesige Unternehmen sind auf das Vorhandensein ausgereifter Schutzmechanismen angewiesen, um transatlantische Datenströme legitimieren können.

(Foto: © Eisenhans - Fotolia.com)