Safe Harbor
Safe Harbor (englisch für „Sicherer Hafen“) ist eine besondere Datenschutz-Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Es besteht des Weiteren eine ähnliche Vereinbarung mit der Schweiz.
Die Richtlinie 95/46/EG (Datenschutzrichtlinie) verbietet es grundsätzlich, personenbezogene Daten aus EU-Mitgliedsstaaten in Staaten zu übertragen, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da diese keine umfassenden gesetzlichen Regelungen kennen, die den Standards der EU entsprechen.
Damit der Datenverkehr zwischen den USA, der EU und der Schweiz nicht zum Erliegen kommt, wurde zwischen 1998 und 2000 ein besonderes Verfahren entwickelt. US-Unternehmen können dem Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichten, die Safe Harbor Principles (englisch für „Grundsätze des sicheren Hafens“) und die dazugehörenden – verbindlichen – Frequently Asked Questions (FAQ) zu beachten. Im Jahr 2000 hat die EU anerkannt, dass bei den Unternehmen, die dem Safe-Harbor-System beigetreten sind, ein ausreichender Schutz besteht.
Bislang sind mehr als eintausend Unternehmen dem Safe-Harbor-Abkommen beigetreten,[1] darunter IBM, Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard und Facebook.
Safe Harbor und die Schweiz
Gemeinsam mit dem Schweizer Staatssekretariat für Wirtschaft (SECO), dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und den USA wurde auch für die Schweiz ein Regelwerk ausgearbeitet, welches für die darunter zertifizierten Unternehmen ein ausreichendes Datenschutzniveau gewährleistet.
Mit dem "U.S.-Swiss Safe Harbor Framework" wurde mit den USA eine Grundlage geschaffen, die den Datentransfer mit der Schweiz und den US-Unternehmen erleichtert.
Deutsche Aufsichtsbehörden und Safe Harbor
Der Düsseldorfer Kreis hat im April 2010 erklärt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürfen.[2] Die im Düsseldorfer Kreis vertretenen Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe-Harbor-Zertifizierung und Beachtung der Safe-Harbor-Grundsätze nachweisen lässt.
Hierzu gehört nach Auffassung der Aufsichtsbehörden, dass die Datenexporteure jedenfalls folgende Mindestprüfungen vornehmen:
- Datum der Zertifizierung der Datenimporteure: Zertifizierungen, die älter als sieben Jahre sind, sind nicht mehr gültig.
- Einhaltung der Pflicht zur Information der Betroffenen: Gemäß dem Notice-Prinzip in den Safe-Harbor-Grundsätzen hat der Datenimporteur in den USA Privatpersonen darüber zu informieren, zu welchem Zweck personenbezogene Daten erhoben und verwendet werden, wie sich Betroffene mit Nachfragen und Beschwerden an den Datenimporteur wenden können und an welche Dritte die Daten weitergegeben werden.
Datenexporteure in Deutschland müssen diese Mindestprüfung dokumentieren und auf Nachfrage den Aufsichtsbehörden nachweisen.
Kritik
Da im Rahmen des US Patriot Act US-Sicherheitsbehörden unter Umständen auch ohne Benachrichtigung der Dateninhaber Zugriff auf die in US-Clouds gespeicherten Daten gewährt werden muss, gerät das Safe Harbor Abkommen immer mehr in Kritik und ist nach Meinung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein "das Papier nicht wert, auf dem es geschrieben steht".[3]
Quellen
- ↑ Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 25. Oktober 2006
- ↑ Beschluss des Düsseldorfer Kreises vom 28./29. April 2010 zur Prüfung der Selbst-Zertifizierung des Datenimporteuers nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen. (PDF; 22 kB)
- ↑ Editoral der iX
Literatur
- Simon Fink: Datenschutz zwischen Staat und Markt – Die „Safe Harbor“-Lösung als Resultat einer strategischen Interaktion zwischen der EU, den USA und der IT-Industrie. Konstanz 2002. Download
Weblinks
- Entscheidung der Europäischen Kommission (2000/520/EG)
- Website des US-Handelsministeriums zum Safe Harbor
- "Düsseldorfer Kreis": Beschluss vom 28./29. April 2010 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen
- Webseite der Schweizerischen Eidgenossenschaft zum U.S.-Swiss Safe Harbor Framework