In Bremen und Berlin sind die ersten beiden Verwaltungsverfahren gegen Datenübermittlungen in die USA anhängig. Sie könnten Modellcharakter haben und dem kränkelnden Safe Harbor Verfahren den Todesstoß versetzen.

Safe Harbor, was ist denn das?

Die vor 15 Jahren ergangene „Safe Harbor Entscheidung“ der Europäischen Kommission ermöglicht es europäischen Unternehmen personenbezogene Daten legal an Unternehmen in den USA zu übermitteln, obwohl in den USA per se kein angemessenes Datenschutzniveau gegeben ist. Eine Datenübermittlung in die USA ist daher gemäß Art. 25 der Europäischen Datenschutzrichtlinie grundsätzlich unzulässig.

Die Kommission ging in ihrer Entscheidung jedoch davon aus, dass durch die vom US-Handelsministerium ausgearbeiteten „Grundsätze des ‚sicheren Hafens‘ zum Datenschutz“ und die dazugehörenden FAQs ein angemessenes Schutzniveau für personenbezogene Daten prinzipiell gewährleistet werden kann. US-amerikanischen Unternehmen, die sich diesen Grundsätzen und den FAQs unterwerfen, könne daher ein angemessenes Datenschutzniveau attestiert werden (vgl. hierzu unseren früheren Beitrag Safe Harbor – sicher oder nicht?).

Nichtsdestotrotz hatte die Kommission aber bereits vor 15 Jahren vor Augen, dass die Wirksamkeit von Safe Harbor zum Schutz personenbezogener Daten kontinuierlich überprüft werden müsse. In Erwägungsgrund 9 der Entscheidung heißt es dazu wörtlich:

„Der durch die Grundsätze und die FAQ geschaffene „sichere Hafen“ wird möglicherweise im Licht der Erfahrungen mit Entwicklungen beim Datenschutz in einem Umfeld, in dem die Technik die Übermittlung und Verarbeitung personenbezogener Daten immer einfacher macht, und im Licht von Berichten der für die Durchsetzung zuständigen Behörden über die Anwendung gegebenenfalls überprüft werden müssen.“

In diesem Zusammenhang wurde in Art. 3 der Entscheidung den einzelnen Datenschutzbehörden in den Mitgliedsstaaten auch das Recht eingeräumt, Datenübermittlungen, die nach der Safe Harbor Entscheidung eigentlich zulässig wären, auszusetzen. Dieses Recht kann dann bestehen, wenn die Safe Harbor Grundsätze von einem Unternehmen verletzt werden oder hierfür eine hohe Wahrscheinlichkeit besteht.

Kritik am Verfahren

Kritik am Safe Harbor Verfahren gibt es schon lange. Der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit, Johannes Caspar, sagte auf dem Europäischen Datenschutztag, dass es keine Belege dafür gebe, dass US-amerikanische Unternehmen dem europäischen Datenschutzniveau gerecht würden.

Aus diesem Grund haben sich die Berliner und die Bremer Datenschutzbehörden nun dazu entschlossen, ihre oben dargestellten Befugnisse wahrzunehmen und Datenexporte zu untersagen. Die Verfahren sind modellhaft und könnten dazu führen, dass es weiteren Unternehmen untersagt wird, personenbezogene Daten in die USA zu übermitteln.

Stand des Verfahrens

Zurzeit verhandeln die USA und Europa über Änderungen des Safe Harbor Programms. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, sieht die transatlantische Diskussion zum Datenschutz an einem Scheidepunkt: „Die Verhandlungen zwischen der Europäischen Kommission und der US-amerikanischen Regierung zu Safe Harbor kommen offenbar in den entscheidenden Fragen nicht voran. Ich rufe die Verhandlungspartner EU-Kommission und US-Regierung auf, die bestehenden Chancen für datenschutzgerechte Lösungen zu ergreifen. Ein Scheitern der Verhandlungen kann das Aussetzen von Datentransfers in die USA durch Datenschutzaufsichtsbehörden und damit erhebliche wirtschaftliche Folgen nach sich ziehen“ (vgl. hier).

Wir werden die weiteren Verhandlungen verfolgen und Sie zeitnah informieren.