27.01.2015 — RA HAns Sebastian Helmschrott, LLM Eur.

Wie sicher ist der „sichere Hafen“ - Safe Harbour im Mai 2015 wieder auf dem Prüfstand

Hintergrund

Die Übermittlung personenbezogener Daten - auch innerhalb eines Konzernes unter Konzernunternehmen - in ein Land außerhalb der EU oder des EWR erfordert das Vorhandensein eines „angemessenen Datenschutzniveaus“ im Zielland. Lediglich für  wenige Länder wie zB die Schweiz hat die EU ein solches Schutzniveau festgestellt. Insbesondere für den wichtigen Außenhandelspartner und IT Vorreiter USA gilt dies nicht. Die EU hat deshalb bereits im Jahre 2000 eine Entscheidung gefasst, dass US Unternehmen nach Durchlaufen eines bestimmtes Verfahrens als „sicherer Hafen“ gelten, also dass für dieses Unternehmen angenommen wird, es wäre ein angemessenes Datenschutzniveau erreicht.

Bereits im Jahre 2010 hat der sog. „Düsseldorfer Kreis“ beschlossen,  dass die bloße Existenz der Safe Harbour Zertifizierung nicht genügt, sondern strenge tatsächliche Prüfpflichten bestehen, bevor ein Datentransfer erfolgen kann. Vor dem Hintergrund der Abhör - und Überwachungspraktik in den USA wird die Berechtigung der Regelung aktuell darüber hinaus aber gänzlich in Frage gestellt.  

Da es sich bei „Safe Harbour“ um eine einseitige Regelung der EU handelt, also um keinen zweiseitigen Vertrag mit den USA,  kann die Regelung jederzeit einseitig durch die EU aufgehoben werden. Die bisherige Privilegierung der unter „Safe Harbour“ geschützten US Unternehmen würde damit entfallen und der Datentransfer an solche auf dieser Basis unzulässig, bestehende Verträge wären  ggfs. nicht mehr erfüllbar.

So hat u.a. der Landesbeauftragte für den Datenschutz und Informationssicherheit der Freien Hansestadt Bremen hat in einer Pressemitteilung aus Juni 2013 bereits verlauten lassen, dass es den nationalen Aufsichtsbehörden freistünde, die Datenübermittlung auf Basis der „Safe Harbour“ Regelung „auszusetzten“, wenn eine „hohe Wahrscheinlichkeit bestünde, dass die Safe Harbour Grundsätze verletzt wären, und dieser Fall sei „nun eingetreten“.

Zwar haben sich andere Aufsichtsbehörden dem nicht angeschlossen. Ganz im Gegenteil hat sich der Düsseldorfer Kreis in einem Beschluss von September 2013 die Auffassung des Bremer Landesbeauftragten nicht zu eigen gemacht, sondern generell festgehalten, dass bei Datenübermittlungen ins Ausland ein zweistufiges Prüfverfahren einzuhalten sei. Das bayrische Landesamt für Datenschutzaufsicht hat in einer aktuellen Stellungnahme auch verlauten lassen, dass man „derzeit von einer Wirksamkeit“ von Safe Harbour ausgehe, man aber darauf hinweise, „das andere Datenschutzaufsichtsbehörden in Deutschland dies anders sehen“.

Für den Rechtsanwender geht aufgrund der unterschiedlichen Meinungen unter den örtlichen Aufsichtsbehörden aktuell eine nicht unerhebliche Rechtsunsicherheit einher.  

Aussicht

Am 27/28 Mai 2015 kommt es in Riga zu einem Treffen zu Safe Harbour, in dem eine Positionierung der EU erhofft wird. Es ist damit zu rechnen, dass die EU einige Anforderungen „nachjustiert“, damit aber  wieder Rechtssicherheit besteht.

Tipp

Derzeit kann beim Datenverkehr mit den USA nicht sicher vom Bestand der Safe Harbour Regelung ausgegangen werden. Auch eine doppelte Absicherung durch Verwendung der EU Standard Terms, so empfehlenswert dies auch sein mag, ist nicht sicher. Denn die Pressemitteilung des Bremer Datenschutzbeauftragten stellte auch deren Anwendung grundsätzlich in Frage. Vertragliche Regelungen zwischen Datenversender und Empfänger sollten in jedem Fall das Szenario einer Rechtsänderung in diesem Bereich berücksichtigen, insbesondere durch Aufnahme von Anpassungsklauseln oder - für den Notfall - einem Kündigungsrecht.

Dieser Beitrag wurde veröffentlicht unter IT-Recht, Datenschutzrecht, Tags: Datenschutzrecht, Safe Harbour