Safe Harbor

Safe Harbor (englisch für „Sicherer Hafen“) ist eine besondere Datenschutz-Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln.

Die Richtlinie 95/46/EG (Datenschutzrichtlinie) verbietet es grundsätzlich, personenbezogene Daten aus EG-Mitgliedsstaaten in Staaten zu übertragen, die über kein dem EG-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da diese keine umfassenden gesetzlichen Regelungen kennen, die den Standards der EG entsprechen.

Damit der Datenverkehr zwischen den USA und der EU nicht zum Erliegen kommt, wurde zwischen 1998 und 2000 ein besonderes Verfahren entwickelt. US-Unternehmen können dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichten, die Safe Harbor Principles (englisch für „Grundsätze des sicheren Hafens“) und die dazugehörenden – verbindlichen – Frequently Asked Questions (FAQ) zu beachten. Im Jahr 2000 hat die EU anerkannt, dass bei den Unternehmen, die dem Safe-Harbor-System beigetreten sind, ein ausreichender Schutz besteht.

Bislang sind mehr als eintausend Unternehmen dem Safe-Harbor-Abkommen beigetreten,^[1] darunter Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard und Facebook.

Safe Harbor und die Schweiz

Gemeinsam mit dem Schweizer Staatssekretariat für Wirtschaft (SECO), dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und den USA wurde auch für die Schweiz ein Regelwerk ausgearbeitet, welches für die darunter zertifizierten Unternehmen ein ausreichendes Datenschutzniveau gewährleistet.

Mit dem "U.S.-Swiss Safe Harbor Framework" wurde mit den USA eine Grundlage geschaffen, die den Datentransfer mit der Schweiz und den US-Unternehmen erleichtert.

Deutsche Aufsichtsbehörden und Safe Harbor

Der Düsseldorfer Kreis hat im April 2010 erklärt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürfen.^[2] Die im Düsseldorfer Kreis vertretenen Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe-Harbor-Zertifizierung und Beachtung der Safe-Harbor-Grundsätze nachweisen lässt.

Hierzu gehört nach Auffassung der Aufsichtsbehörden, dass die Datenexporteure jedenfalls folgende Mindestprüfungen vornehmen:

1. Datum der Zertifizierung der Datenimporteure: Zertifizierungen, die älter als sieben Jahre sind, sind nicht mehr gültig.
2. Einhaltung der Pflicht zur Information der Betroffenen: Gemäß dem Notice-Prinzip in den Safe-Harbor-Grundsätzen hat der Datenimporteur in den USA Privatpersonen darüber zu informieren, zu welchem Zweck personenbezogene Daten erhoben und verwendet werden, wie sich Betroffene mit Nachfragen und Beschwerden an den Datenimporteur wenden können und an welche Dritte die Daten weitergegeben werden.

Datenexporteure in Deutschland müssen diese Mindestprüfung dokumentieren und auf Nachfrage den Aufsichtsbehörden nachweisen.

Literatur

• Simon Fink: Datenschutz zwischen Staat und Markt – Die „Safe Harbor“-Lösung als Resultat einer strategischen Interaktion zwischen der EU, den USA und der IT-Industrie. Konstanz 2002. Download

Weblinks

• Entscheidung der Europäischen Kommission (2000/520/EG)
• Website des US-Handelsministeriums zum Safe Harbor
• "Düsseldorfer Kreis": Beschluss vom 28./29. April 2010 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen
• Webseite der Schweizerischen Eidgenossenschaft zum U.S.-Swiss Safe Harbor Framework

Quellen

1. ↑ Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 25. Oktober 2006
2. ↑ Beschluss des Düsseldorfer Kreises vom 28./29. April 2010.