Safe Harbor

Entscheidung 2000/520/EG
Titel:	Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA
Bezeichnung: (nicht amtlich)	Safe-Harbor-Abkommen
Geltungsbereich:	EWR
Rechtsmaterie:	Datenschutzrecht
Grundlage:	Richtlinie 95/46/EG, insbesondere Artikel 25 Absatz 6
Fundstelle:	ABl. L 215 vom 25. August 2000, S. 7–47
Volltext	Grundfassung
Regelung wurde für nichtig erklärt.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Safe Harbor (englisch für „sicherer Hafen“, teilweise auch: Safe-Harbor-Abkommen, Safe-Harbor-Pakt) ist ein Beschluss der Europäischen Kommission auf dem Gebiet des Datenschutzrechts aus dem Jahr 2000, der vom Europäischen Gerichtshof (EuGH) durch das Schrems-I-Urteil am 6. Oktober 2015 für ungültig erklärt worden ist.^[1][2] Durch den Beschluss sollte es Unternehmen ermöglicht werden, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.^[3] Die Bezeichnung als „Abkommen“ rührt daher, dass dieses Vorgehen mit den USA abgesprochen worden war. Auch eine Nachfolgeregelung namens EU-US Privacy Shield aus dem Jahr 2016 wurde 2020 ebenfalls vom EuGH aufgehoben.

Nachfolger ist das EU-US Data Privacy Framework, für das die Europäische Kommission im Juli 2023 den Angemessenheitsbeschluss angenommen hat. Der Angemessenheitsbeschluss kann ab diesem Zeitpunkt als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.^[4]

Unabhängig hiervon besteht eine ähnliche Vereinbarung der Vereinigten Staaten mit der Schweiz, die den gleichen Zweck in Bezug auf den Datenverkehr zwischen diesen beiden Staaten verfolgt (U.S.-Swiss Safe Harbor Framework).^[5] Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Hanspeter Thür sah darin 2015 jedoch wegen des Urteils des EuGH keine ausreichende Grundlage für die Übermittlung personenbezogener Daten in die USA mehr^[6] und bat den Bundesrat, die Vereinbarung aufzukündigen.^[7]

Die Datenschutzrichtlinie 95/46/EG verbot es grundsätzlich, personenbezogene Daten aus Mitgliedstaaten der Europäischen Union in Staaten zu übertragen, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufwies. Dazu zählten auch die Vereinigten Staaten, denn das US-amerikanische Recht kennt keine umfassenden gesetzlichen Regelungen, die den Standards der EU insoweit entsprechen würden.

Damit der Datenverkehr zwischen der EU und den USA nicht zum Erliegen kam, wurde zwischen 1998 und 2000 ein besonderes Verfahren entwickelt. US-Unternehmen konnten dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichteten, die Safe Harbor Principles ‚Grundsätze des sicheren Hafens‘ und die dazugehörenden – verbindlichen – FAQ zu befolgen.

In der Safe-Harbor-Entscheidung^[3] hatte die Europäische Kommission im Juli 2000 anerkannt, dass bei den Unternehmen, die diesem System beigetreten sind, ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern bestehe.

Bis September 2015 waren etwa 5500 amerikanische Unternehmen dem Safe-Harbor-Abkommen beigetreten,^[8] darunter IBM, Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard, Dropbox und Facebook.

Der Düsseldorfer Kreis hatte bereits im April 2010 erklärt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürften, und forderte konkrete Mindeststandards, die gewährleistet und auf Nachfrage der Aufsichtsbehörden auch nachgewiesen werden müssten.^[9]

Da im Rahmen des USA PATRIOT Act US-Sicherheitsbehörden unter Umständen auch ohne Benachrichtigung der Dateninhaber Zugriff auf die in den Vereinigten Staaten gespeicherten Daten gewährt werden muss, geriet das Safe-Harbor-Abkommen immer mehr in die Kritik. Nach Ansicht des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein sei Safe Harbor „das Papier nicht wert, auf dem es geschrieben steht“.^[10]

Nach den Enthüllungen Edward Snowdens hatten die deutschen Datenschutzbeauftragten am 24. Juli 2013 die deutsche Bundesregierung und die Europäische Kommission aufgefordert, das Safe-Harbor-System zu überprüfen und bekanntgegeben, dass sie bis auf weiteres keinen Datenexport in die USA unter dem Safe-Harbor-System zulassen.^[11]

Einen Tag darauf, am 25. Juli 2013, wurde bekannt, dass zwei Beschwerden gegen Apple und Facebook vor der irischen Datenschutzbehörde nicht bearbeitet wurden. Die irische Datenschutzbehörde stellte fest, dass PRISM an der Gültigkeit von Safe Harbor nichts geändert habe und für die Frage der Rechtmäßigkeit des Datenexports in die USA weiterhin allein auf die Zugehörigkeit des Empfängerunternehmens zu der Safe-Harbor-Liste abzustellen sei. Des Weiteren stellte die Behörde fest, dass die EU schon im Jahr 2000 eine Datenverwendung wie für das PRISM-Programm „vorausgesehen und geregelt“ hätte.^[12]

Die EU hatte bereits zuvor am 19. Juli 2013 eine Überprüfung von Safe Harbor bis zum Jahresende 2013 angekündigt.^[13] In einer Stellungnahme zur Entscheidung der Datenschutzbehörde in Irland stellte die EU-Kommission fest: „Im Lichte der Veröffentlichungen rund um PRISM scheint es, dass die Datenschutzerfordernisse durch das ‚Safe Harbor‘-Abkommen nicht den europäischen Standards entsprechen.“^[14]

Die EU-Justizkommissarin Viviane Reding kündigte am 6. September 2013 eine Reform des EU-Datenschutzes an, in dem Unternehmen „mit Strafen von bis zu zwei Prozent des weltweiten Jahresumsatzes“ rechnen müssen, wenn sie „etwa illegal Daten übermitteln“.^[15] Mit 544 Ja-Stimmen, 78 Gegenstimmen und 60 Enthaltungen stimmten die EU-Abgeordneten des Europaparlamentes im März 2014 für eine Aussetzung des Safe-Harbor-Abkommens.^[16]

Im September 2015 erhielt Safe Harbor einen weiteren Rückschlag, als der Generalanwalt am Europäischen Gerichtshof Yves Bot in seinen Schlussanträgen in der Rechtssache C-362/14 – Schrems/Data Protection Commissioner – die Safe-Harbor-Entscheidung der Kommission für nicht bindend und für ungültig befand. Der irische High Court hatte dem EuGH die Frage zur Entscheidung vorgelegt, ob die Safe-Harbor-Entscheidung die irische Datenschutzbehörde daran hindere, eine Beschwerde zu prüfen, mit der geltend gemacht wurde, dass ein Drittland kein ausreichendes Schutzniveau gewährleiste, und gegebenenfalls die mit der Beschwerde angefochtene Datenübermittlung auszusetzen. Der Beschwerdeführer hatte sich konkret gegen die Übermittlung von Daten durch das soziale Netzwerk Facebook in die USA gewandt.

Der Generalanwalt führte aus, die Kommission sei nicht ermächtigt, die Befugnisse der nationalen Kontrollbehörden zu beschränken. Wenn in einem Drittland „systemische Mängel festgestellt werden“, müsse ein Mitgliedstaat der Europäischen Union „die erforderlichen Maßnahmen ergreifen können, um die Grundrechte, die von der Charta der Grundrechte der Europäischen Union geschützt werden, wie das Recht auf Achtung des Privat- und Familienlebens und das Recht auf den Schutz personenbezogener Daten, zu wahren“. Die USA erlaubten Datensammlungen von EU-Bürgern „in großem Umfang […], ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen“. Die amerikanischen Geheimdienste übten eine Überwachung aus, die „massiv und nicht zielgerichtet“ und daher nicht verhältnismäßig sei. Daher sei es nicht ausreichend, dass die Kommission mit den USA in Verhandlungen eingetreten sei, um diese Grundrechtseingriffe abzustellen. Sie hätte auch die Anwendung der Safe-Harbor-Entscheidung aussetzen müssen.^[17]

In seinem Urteil vom 6. Oktober 2015 (genannt „Schrems I“) folgte der Europäische Gerichtshof den Schlussanträgen des Generalanwalts und erklärte, die Safe-Harbor-Entscheidung der Kommission hindere die irische Datenschutzbehörde nicht zu prüfen, ob die Übermittlung von Nutzerdaten in die USA durch Facebook auszusetzen wäre. Die Entscheidung der Europäischen Kommission stehe dem nicht entgegen, denn die Kommission könne die Befugnisse der nationalen Datenschutzbehörden weder beseitigen noch beschränken. Es fehle ihr an der dazu erforderlichen Kompetenz.

Der Europäische Gerichtshof stellte überdies fest, er allein habe letztlich über die Gültigkeit einer Entscheidung der Kommission zu befinden.^[1][2] In dieser Sache kam er zu dem Ergebnis, die Safe-Harbor-Regelung laufe ins Leere, da die US-amerikanischen Unternehmen, die sich ihr unterworfen hätten, jederzeit und ohne Einschränkung verpflichtet seien, die Schutzregeln unangewendet zu lassen und personenbezogene Daten an die US-amerikanischen Sicherheitsbehörden herauszugeben, „ohne dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.“ Damit sieht das Gericht den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und des wirksamen gerichtlichen Rechtsschutzes verletzt. Deshalb sei die Safe-Harbor-Entscheidung ungültig.^[1][18]

Die deutschen Datenschutzbehörden haben in einem gemeinsamen Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 26. Oktober 2015 klargestellt,^[19] dass eine Übermittlung von Daten, die allein auf Safe Harbor gestützt ist, durch das Urteil des Europäischen Gerichtshofs nunmehr ausgeschlossen sei. Solche Übermittlungen würden untersagt, wenn die Behörden davon Kenntnis erlangten. Neue Genehmigungen von Datenübermittlungen aufgrund von Datenexportverträgen und Unternehmensregelungen würden nicht mehr erteilt. Die Auffassung der britischen und der irischen Datenschutzbehörden, wonach das Gericht lediglich Safe Harbor für unwirksam erklärt hätte, nicht jedoch den Datenexport aufgrund von EU-Standardvertragsklauseln oder der „informierten Einwilligung“, teilen die deutschen Datenschützer nicht. Wiederholte, massenhafte und routinemäßige Datentransfers könnten durch eine Einwilligung grundsätzlich nicht mehr gedeckt werden. Das gelte insbesondere für die Daten von Beschäftigten oder von Dritten. Der Gesetzgeber wurde aufgefordert, den Datenschutzbehörden ein eigenes Klagerecht einzuräumen.^[20] Die europäischen Datenschutzbehörden einigten sich im Oktober 2015 auf eine Übergangsfrist für eine Neuregelung der Datenübertragung in die USA bis Ende Januar 2016.^[21] Nach mehrmonatigen Verhandlungen wurde das Nachfolgeabkommen EU-US Privacy Shield am 12. Juli 2016 von der Europäischen Kommission angenommen.^[22] Es konnte zwischen dem 1. August 2016 und 16. Juli 2020 angewendet werden.

Das Schweizer Staatssekretariat für Wirtschaft (SECO) und der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) haben gemeinsam mit den USA auch für die Schweiz ein Regelwerk ausgearbeitet, welches für die darunter zertifizierten Unternehmen ein ausreichendes Datenschutzniveau gewährleisten soll.

Der EDÖB hielt fest, mit dem U.S.-Swiss Safe Harbor Framework sei mit den USA eine Grundlage geschaffen worden, die den Datentransfer mit der Schweiz und den US-Unternehmen erleichtere.^[5]

Nach dem erwähnten Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015 (Rs. C-362/14) hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eine knappe Stellungnahme veröffentlicht, worin er feststellt, auch das Abkommen zwischen der Schweiz und den USA werde durch dieses Urteil in Frage gestellt.^[23]

• EU-Datenschutzreform

• Georg Borges: Datentransfer in die USA nach Safe Harbor NJW 2015, 3617
• Alexander Genz: Datenschutz in Europa und den USA. Eine rechtsvergleichende Untersuchung unter besonderer Berücksichtigung der Safe-Harbor-Lösung (= DuD-Fachbeiträge). Deutscher Universitäts-Verlag, Wiesbaden 2004, ISBN 3-8244-2185-2 (Zugl.: Dissertation, Universität Gießen, 2004). 
• Dirk Heckmann, Tobias Starnecker: Kein Land in Sicht – das Dilemma des Safe-Harbor-Urteils. In: Juris. Die Monatszeitschrift. 2016, S. 58. 
• Robert Klecha: Datenübermittlungen in die USA nach dem Safe-Harbor-Urteil des EuGH. Eine Untersuchung unter besonderer Berücksichtigung des EU-US Privacy Shield (= Beiträge zu Datenschutz und Informationsfreiheit. Nr. 22). Dr. Kovač, Hamburg 2018, ISBN 978-3-339-10480-9. 
• Hannes Rathke:: Aktueller Begriff: Europa. Ungültigkeit der Kommissionsentscheidung zu den Grundsätzen des „sicheren Hafens“ – EuGH-Urteil in der Rs. C – 362/14 (Schrems). Hrsg.: Wissenschaftlicher Dienst des Deutschen Bundestags. Fachbereich Europa. Nr. 06/15, 9. Oktober 2015 (bundestag.de [PDF; abgerufen am 15. Oktober 2015]). 

• Safe Harbor – Website des US-Handelsministeriums
• Safe Harbor bietet keinen ausreichenden Schutz für den Datentransfer in die USA – Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Ländern am 18./19. März 2015 in Wiesbaden

1. ↑ ^{a b c} Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig. (PDF) Abgerufen am 17. Juli 2023. 
2. ↑ ^{a b} Urteil in der Rechtssache C-362/14 – Maximilian Schrems / Data Protection Commissioner vom 6. Oktober 2015, abgerufen am 6. Oktober 2015
3. ↑ ^{a b} Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA. In: Amtsblatt der Europäischen Gemeinschaften. L, Nr. 215, 25. August 2000, S. 7. Abgerufen am 27. September 2015.
4. ↑ Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten. In: bfdi.bund.de. 10. Juli 23, abgerufen am 17. Juli 2023. 
5. ↑ ^{a b} Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter: Abschluss eines Safe-Harbor-Abkommens Schweiz-USA (Memento vom 28. September 2015 im Internet Archive). In: Tätigkeitsbericht Nr. 26, 2008/2009. Abgerufen am 28. September 2015.
6. ↑ Pressemitteilung (Memento vom 22. Dezember 2015 im Internet Archive) des EDÖB.
7. ↑ Bericht und Empfehlungen an den Bundesrat (Memento vom 22. Dezember 2015 im Internet Archive) vom 14. Oktober 2015.
8. ↑ U.S.–EU Safe Harbor List (Memento vom 7. Januar 2013 im Internet Archive), abgerufen am 27. September 2015.
9. ↑ Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht- öffentlichen Bereich am 28./29. April 2010 in Hannover (PDF, überarbeitete Fassung vom 23. August 2010). Abgerufen am 27. September 2015.
10. ↑ Jürgen Seeger: Editorial – iX. In: heise.de. 12. Oktober 2011, abgerufen am 6. Oktober 2015. 
11. ↑ Bundesbeauftragter für den Datenschutz: Press Release „Safe Harbor“ Bremen/Bremerhaven, 24 July 2013. Abgerufen am 28. September 2015.
12. ↑ Konrad Lischka: EU-Tochterfirmen: Irische Aufsichtsstelle nennt Datenexport in die USA legal. In: Spiegel Online. 25. Juli 2013, abgerufen am 6. Oktober 2015. 
13. ↑ EU to review ‘safe harbour’ data privacy rule for US companies. In: Financial Times (nur für Abonnenten lesbar).
14. ↑ Natasha Lomas: Irish Data Protection Agency Smiles On Apple, Facebook Prism Compliance But Europe Is Taking Closer Look At Safe Harbor “Loophole”. In: techcrunch.com. 25. Juli 2013, abgerufen am 6. Oktober 2015 (englisch). 
15. ↑ Nach PRISM: Europas Datenschutz braucht jetzt Vorfahrt. europa.eu
16. ↑ NSA: EU-Parlament fordert Stopp der Datenübermittlung an die USA. In: zeit.de. 12. März 2014, abgerufen am 6. Oktober 2015. 
17. ↑ Europäischer Gerichtshof: Pressemitteilung Nr. 106/15. (PDF; 170 kB) Schlussanträge des Generalanwalts in der Rechtssache C-362/14 – Maximilian Schrems / Data Protection Commissioner. 23. September 2015. Abgerufen am 28. September 2015.
18. ↑ Fabian Warislohner: Safe-Harbor-Urteil: Reaktionen aus Presse, Politik, NGOs und Verbänden. In: netzpolitik.org. 6. Oktober 2015, abgerufen am 6. Oktober 2015. 
19. ↑ Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). In: www.datenschutz.hessen.de. 26. Oktober 2015, archiviert vom Original (nicht mehr online verfügbar) am 23. April 2016; abgerufen am 21. Juni 2016. 
20. ↑ Christiane Schulzki-Haddouti: Safe Harbor: Deutsche Datenschutzbehörden wollen transatlantischen Datenverkehr teilweise kappen. In: heise online. Abgerufen am 27. Oktober 2015. 
21. ↑ Christiane Schulzki-Haddout: EU-Datenschützer setzen Ultimatum für Safe Harbor 2.0. In: heise online. 17. Oktober 2015, abgerufen am 1. Februar 2016. 
22. ↑ Europäische Kommission: Pressemitteilung – Europäische Kommission lanciert EU-US-Datenschutzschild: besserer Schutz für den transatlantischen Datenverkehr. 12. Juli 2016, abgerufen am 18. Februar 2017 (englisch). 
23. ↑ Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter: Safe-Harbor-Urteil des Europäischen Gerichtshofs: Stellungnahme des EDÖB (Memento vom 22. Oktober 2015 im Internet Archive). Abgerufen am 9. Oktober 2015.