Die Beauftragte für den Datenschutz und die Informationsfreiheit

Safe Harbor und Schrems-Urteil des EuGH

Safe Harbor (Sicherer Hafen) war eine zwischen der EU (Europäischen Union) und den USA (Vereinigte Staaten von Amerika) im Jahre 2000 getroffene Übereinkunft, die gewährleistete, dass personenbezogene Daten genehmigungsfrei in die USA übermittelt werden konnten.

Die Feststellung der Europäischen Kommission in ihrem Adäquanzbeschluss (2000/520/EG) vom 26. Juli 2000, dass die nach den Safe-Harbor-Regularien zertifizierten Unternehmen in die USA ein angemessenes Datenschutzniveau im Sinne des Artikel 25 Absatz 6 der Datenschutzrichtlinie 95/46 gewährleisten, wurde durch den Europäischen Gerichtshof im sogenannten Schrems-Urteil (C-362/14) vom 6. Oktober 2015 aufgehoben.

Was war Safe Harbor?

Die Safe-Harbor-Entscheidung der Europäischen Kommission  2000/520/EG  war eine wesentliche  Rechtsgrundlage für die Übermittlung  personenbezogener Daten aus der Europäischen Union in die USA. Die europäische Datenschutzrichtlinie 95/46/EG verlangt, dass personenbezogene Daten von Stellen in der Europäischen Union grundsätzlich nur in Staaten übermittelt werden dürfen, die ein angemessenes Datenschutzniveau gewährleisten.

Eine derart umfassende Feststellung wurde für die USA von der Kommission jedoch nicht getroffen. Stattdessen erließ die Kommission für die USA im Juli 2000 die Safe-Harbor-Entscheidung, mit der für den privaten Sektor anerkannt wurde, dass die vom US-Handelsministerium herausgegebenen sieben "Grundsätze des ,sicheren Hafens‘ zum Datenschutz"  (Informationspflicht, Wahlmöglichkeit, Weitergabe, Sicherheit, Datenintegrität, Auskunftsrecht und Durchsetzung) mit den erläuternden "Häufig gestellten Fragen" ("FAQ")  ein angemessenes Schutzniveau für die in die USA übermittelten personenbezogenen Daten gewährleisten. Voraussetzung dafür war, dass sich US-Unternehmen zur Einhaltung dieser Prinzipien per Selbstzertifizierung verpflichten.

Was hat der EuGH entschieden?

Der österreichische Facebook-Nutzer Maximilian Schrems legte bei der irischen Datenschutzbehörde Beschwerde ein, weil er vor dem Hintergrund der Enthüllungen von Edward Snowden bezüglich der Aktivitäten der US-Geheimdienste der Ansicht war, seine von Facebook Irland an Server in den USA übermittelten Nutzerdaten seien in den Vereinigten Staaten nicht hinreichend geschützt.

Die irische Datenschutzbehörde wies die Beschwerde mit dem Hinweis auf die verbindliche Safe-Harbor-Entscheidung der Kommission zurück. Der mit der Rechtssache in der Folge befasste irische High Court legte dem EuGH daher die Frage vor, ob die Safe-Harbor-Entscheidung der Kommission eine nationale Datenschutzbehörde daran hindere, eine solche Beschwerde zu prüfen und gegebenenfalls die angefochtene Datenübermittlung auszusetzen.

Der  EuGH kam zu dem Ergebnis, dass die Safe-Harbor-Entscheidung der Kommission die nationalen Kontrollstellen nicht daran hindert, in völliger Unabhängigkeit zu prüfen, ob bei der Datenübermittlung die in der Datenschutz-Richtlinie 95/46/EG aufgestellten  Anforderungen zum Schutz des Grundrechts auf Datenschutz aus Artikel 8 der EU-Grundrechtecharta (Charta) gewahrt sind.

Darüber hinaus sei die Safe-Harbor-Entscheidung selbst nichtig, weil die Kommission darin nicht hinreichend begründet festgestellt habe, dass die Vereinigten Staaten aufgrund innerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen ein Schutzniveau gewährleisten, das dem in der Rechtsordnung der Union garantierten Niveau der Sache nach gleichwertig sei.

Zusätzlich zu diesem formalen Argument gibt der EuGH mit Blick auf die Rechtslage und Rechtspraxis in den USA Hinweise, welche Regelungen bezüglich der Überwachungsbefugnisse staatlicher Stellen und der Rechtsschutzmöglichkeiten des Betroffenen als besonders schwerwiegende Verletzungen europäischer Grundrechte angesehen werden müssen.

So verletze eine Regelung, die es Behörden gestatte, generell auf den Inhalt elektronischer  Kommunikation zuzugreifen, den Wesensgehalt des durch Artikel 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens.

Desgleichen verletze eine Regelung das in Artikel 47 der Charta verankerte Grundrecht auf wirksamen gerichtlichen Rechtsschutz, wenn sie keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken.

Was ist seit dem EuGH-Urteil passiert?

Die Europäische Kommission trat nach dem Schrems-Urteil in Verhandlungen mit der US-Regierung ein, um eine Nachfolgeregelung zu Safe Harbor zu finden. Am 2. Februar 2016 hat EU-Justizkommissarin Vera Jourová den Abschluss der Verhandlungen der Europäischen Kommission mit den USA zu einem neuen Datentransfermechanismus "EU-US Privacy Shield" verkündet.

Am 12. Juli 2016 erging der Beschluss der Europäischen Kommission C(2016) 4176 zur Adäquanz der Nachfolgevereinbarung EU-US-Privacy Shield. Seit dem 1. August 2016 nimmt das US-Handelsministerium (Department of Commerce) Zertifizierungsanträge von US-Unternehmen entgegen.

Das US-Handelsministerium führt jedoch bis auf weiteres ein Verzeichnis der Safe Harbor zertifizierten US-Unternehmen, die sogenannte "Safe Harvor List". Der Grund hierfür ist die auch nach Aufhebung der Kommissionsentscheidung zu Safe Harbor fortbestehende Verpflichtung für US-Unternehmen, deren Prinzipien weiterhin auf diejenigen Daten anzuwenden, die an das US-Unternehmen übermittelt wurden, während es den Status eines "sicheren Hafens" hatte. Diese Daten unterliegen den Safe-Harbor-Grundsätzen so lange, wie das US-Unternehmen sie speichert, verarbeitet oder weitergibt (FAQ Nr. 6 von Safe Harbor).

URTEIL DES EUROPÄISCHEN GERICHTSHOFS (Große Kammer) vom 6. Oktober 2015 Safe Harbor

Privacy Shield