Safe Harbor

Aus Datenschutz-Wiki
Version vom 3. Februar 2014, 18:08 Uhr von Dammann (Diskussion | Beiträge) (Gliederung "Aktuelle Ereignisse" überarbeitet)
Zur Navigation springen Zur Suche springen

Dieser Beitrag ist eine Zusammenstellung veröffentlichter Dokumente der Datenschutzaufsichtsbehörden, BfDI und des Landesdatenschutzbeauftragten Baden-Württemberg sowie zusätzlicher Informationen.

Das Abkommen

Safe Harbor ist eine seit dem 06.07.2000 bestehende Vereinbarung zwischen der EU und dem Handelsministerium (Department of Commerce) der USA zu den Grundsätzen des sog. „sicheren Hafens“ (Safe Harbor). Ausgangspunkt für diese Vereinbarung bilden die Vorschriften der Art. 25 und 26 der EU-Datenschutzrichtlinie, nach denen ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Dies trifft auf die USA zu, da es dort keine umfassenden gesetzlichen Regelungen zum Datenschutz gibt, die dem europäischen Standard entsprechen. Allerdings sieht Art. 25 Abs. 6 der Richtlinie vor, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittland "feststellen" kann, wenn dieses bestimmte Anforderungen erfüllt. Ausführliches ist in den Erläuterungen zu Safe Harbor des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nachzulesen [1].


Die Sicht der Datenschutzaufsichtsbehörden

Die Vereinbarung soll ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich Unternehmen auf die in der Safe Harbor-Vereinbarung vorgegebenen Grundsätze verpflichten [2]. Durch die Verpflichtung und eine Meldung an die Federal Trade Commission (FTC) können sich die Unternehmen selbst zertifizieren. So zertifizierte US-Unternehmen schaffen damit grundsätzlich die Voraussetzungen, dass eine Übermittlung personenbezogener Daten aus Europa an sie unter denselben Bedingungen möglich ist, wie Übermittlungen innerhalb des europäischen Wirtschaftsraumes (EU/EWR). Das US-Handelsministerium veröffentlicht eine Safe-Harbor-Liste aller zertifizierten Unternehmen im Internet (Trade Information Center: U.S.-EU Safe Harbor List).


Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen im Beschluss vom 28./29. April 2010 [3] darauf hin, dass

  • die Safe Harbor-Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden müssen,
  • die Gültigkeit der Safe Habor-Zertifizierung des Importeurs geklärt sein muss und
  • der Informationspflicht des importierenden Unternehmens gegenüber den von der Datenverarbeitung Betroffenen nachkommen werden muss.

Die Inhalte der Informationspflicht umfassen diese Punkte:

  • Die Organisation (Unternehmen) muss Privatpersonen darüber informieren, zu welchem Zweck sie die Daten über sie erhebt und verwendet, wie sie die Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren können,
  • Die Kategorien von Dritten an die Daten weitergegeben werden und welche Mittel und Wege sie den Privatpersonen zur Verfügung stellt, um die Verwendung und Weitergabe der Daten einzuschränken.

Diese Angaben sind den Betroffenen bei der ersten Erhebung bzw. baldmöglichst danach, vor einer Zweckänderung oder der Übermittlung seiner personenbezogenen Daten unmissverständlich und deutlich erkennbar zu machen.


Aktuelle Ereignisse: Safe Harbor erlebt stürmische Zeiten

Als im zweiten Halbjahr 2013 das enorme Ausmaß der Überwachung der digitalen Kommunikation durch US-amerikanische Geheimdienste durch die Enthüllungen Edward Snowdens bekannt wurden, stellte sich für die Politik, für die Aufsichtsbehörden und für die datenexportierenden UNternehmen und ihre Datenschutzbeauftragten die Frage nach der weiteren Anwendung des Safe-Harbor-Abkommens.

Mit der Praxis der Fernmeldeüberwachung in Europa durch die NSA in Gestalt des Abhörsystems „Echelon“hatte sich bereits der Echelon-Ausschuss des Europäischen Parlaments befasst. Sein Mitte des Jahres 2001 vorgelegter Bericht ließ keine Zweifel mehr daran zu, dass ein globales Kommunikationsabhörsystem existiert, dessen Zielsetzung das Abhören privater und kommerzieller - nicht-militärischer - Kommunikation ist (vgl. nicht-legislative Stellungnahme des Echelon-Ausschusses [4], Bericht über die Existenz eines globalen Abhörsystems für private und wirtschaftliche Kommunikation) [5]). Nach den Anschlägen vom 11. September 2001 auf das World Trade Center und das Pentagon wurde die Thematik des Berichts jedoch politische nicht weiter verfolgt.

2013

Europa

Die Europäische Kommission forderte im November 2013 die Wiederherstellung des Vertrauens in die Datenströme und beim Datenaustausch zwischen der EU und den USA [6] [7].

Der Innenausschuss des Europaparlaments stimmte dafür, das Safe Habor-Abkommen auszusetzen [8]. Im zur Entschließung vorgelegten Entwurf eines Berichtes des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (2013/2188(INI)) wird die Auffassung vertreten, „dass die Grundsätze des „sicheren Hafens“ den EU-Bürgern unter den jetzigen Umständen keinen angemessenen Schutz bieten“ [9]. Derzeit steht eine Entschließung des EU-Parlaments zur Konsolidierung oder Aussetzung des Safe Harbor-Abkommens und anderer Vereinbarungen noch aus (Dokumente zur Berichterstattung).


Bis zur Entscheidung wurden der US-Seite dreizehn Empfehlungen an die Hand gegeben, mittels derer der auf Safe Harbor gestützte Datentransfer im Hinblick auf Transparenz, Rechtsschutz, Durchsetzung und den Zugang für US-Behörden optimiert werden könne [10]. Der zusammengefaßte Überblick des LfD Baden-Württemberg [11]:

  • eine verstärkte Information der Betroffenen auf der Internet-Präsenz der betroffenen Unternehmen, z.B. über den aktuellen Stand der Zertifizierung, den Wortlaut der „privacy policy“ des Unternehmens, Unterauftragsverhältnisse, Beschwerdemöglichkeiten und allgemeine Informationen über im US-Recht vorgesehene Zugriffsmöglichkeiten für US-Geheimdienste;
  • eine Intensivierung der Kontrollen und verhängten Sanktionen durch die US-Aufsichtsbehörden (U.S. Department of Commerce und U.S. Federal Trade Commission), z.B. die Veröffentlichung festgestellter Datenschutzverstöße, stichprobenartige, anlassunabhängige Vorortkontrollen sowie regelmäßige Nachkontrollen bei festgestellten Verstößen;
  • einen Appell an die Behörden der USA, die für die Erfordernisse der nationalen Sicherheit vorgesehenen Ausnahmeregelungen künftig nur noch im unbedingt erforderlichen Umfang und unter strikter Beachtung des Gebots der Verhältnismäßigkeit in Anspruch zu nehmen.

Deutschland

Im Juli 2013 gaben die Datenschutzbeauftragten des Bundes und der Länder bekannt, dass durch die Überwachungspraxis die Grundsätze in den Kommissionsentscheidungen (Safe Harbor-Grundsätze, Standardvertragsklauseln) verletzt würden. Den Grund dafür sehen sie in den Erkenntnissen zum umfassenden und anlasslosen Zugriff - ohne die Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung - auf personenbezogene Daten, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden [12].

Bevor nicht sichergestellt ist, dass „der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird“, behalten sich die Aufsichtsbehörden das Recht vor, „keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste)“ zu erteilen und zu prüfen, „ob solche Datenübermittlungen auf der Grundlage des Safe Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.“.

Dementsprechend äußerte sich der Düsseldorfer Kreis im September 2013 zur Datenübermittlung in Drittstaaten. Die notwendige Prüfung von Datenschutzfragen erfolgt nach einem Stufenmodell und erst beim Vorliegen eines positiven Prüfungsergebnisses beider Stufen, wird die Datenübermittlung als zulässig angesehen [13]:

  • Auf der ersten Stufe ist es erforderlich, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Hierbei gelten die allgemeinen Datenschutzvorschriften (z.B. § 28 und § 32 Bundesdatenschutzgesetz (BDSG)) mit der Besonderheit, dass trotz Vorliegens einer Auftragsdatenverarbeitung die Datenübermittlung nach § 4 Abs. 1 BDSG zulässig sein muss (vgl. § 3 Abs. 8 BDSG). Bei Auftragsdatenverarbeitung ist der Prüfungsmaßstab in der Regel § 28 Abs. 1 Satz 1 Nr. 2 BDSG, bei sensitiven Daten ist § 28 Abs. 6 ff. BDSG zu beachten.
  • Auf der zweiten Stufe ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht oder die Ausnahmen nach § 4c BDSG vorliegen.


Andere Rechtsgrundlagen für die Übermittlung von personenbezogenen Daten in Drittländer

Die Zweifel an der Tragfähigkeit des Safe Harbor geben Anlass, auch die anderen von der EU-Datenschutzrichtlinie und dem BDSG für die Übermittlung von personenbezogenen Daten in Drittländer zur Verfügung gestellten Rechtsgrundlagen in Betracht zu ziehen. Dies sind individuell hergestellte Garantien, die Nutzung der EU-Standardvertragsklauseln und verbindliche Unternehmensregelungen, vgl. dazu die Hinweise des Landesbeauftragten für den Datenschutz Baden-Württemberg aus dem 31. Tätigkeitsbericht 2012/2013 [14].

Garantien

Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts der Betroffenen und der Ausübung der damit verbundenen Rechte können sich aus (Standard-)Vertragsklauseln [15] [16] [17] oder verbindlichen Unternehmensregelungen (sog. Binding Corporate Rules, BCR) ergeben.

Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern können als Word-Dokument in der Version vom 05.02.2010 heruntergeladen werden (andere Sprachen und Versionen sind hier verfügbar: Model contracts for the transfer of personal data to third countries).

Verbindliche Unternehmensregelungen (BCR) stellen grundsätzlich einen Unterfall vertraglicher Vereinbarungen dar. Für die Ausgestaltung solcher Unternehmensregelungen ist ausschlaggebend, dass sie in einer rechtlich verbindlichen, alle Konzernunternehmen und Unternehmensteile gleichermaßen verpflichtenden Weise beschlossen werden und dass dies nach innen in Form von Handlungsanweisungen der jeweiligen Arbeitgeber gegenüber allen Arbeitnehmern umgesetzt wird, beispielsweise mithilfe einer Betriebsvereinbarung [18].


Die Artikel-29-Datenschutzgruppe erstellt seit 2005 Arbeitspapiere, die europaweit von den Datenschutzbehörden als Hilfsmittel genutzt werden können:

  • Arbeitsdokument „Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen“ - WP 108 vom 14.04.2005
  • Arbeitsdokument „Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“ - WP 107 vom 14.04.2005
  • die Empfehlungen für ein Standardantragsverfahren - WP 133 vom 10.01.2007
  • Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) - WP 153 vom 24.06.2008
  • Arbeitsdokument „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen (BCR)“ - WP 154 vom 24.06.2008
  • Arbeitsdokument zu „Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen (BCR) - WP 155 (Rev.4), letzte Überarbeitung 08.04.2009
  • Arbeitsdokument 02/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR) für Auftragsverarbeiter - WP 195 vom 06.06.2012

Prüfmaßnahmen

Solange ein Transfer personenbezogener Daten in die USA auf der Grundlage des Safe Harbor-Rechtsakts der Kommission weiter zulässig ist, stellt sich für alle betroffenen Unternehmen die Frage, wie sie als datenexportierende Stellen ihren Prüfpflichten in Bezug auf den Importeur in den USA nachkommen können und was hierfür konkret zu veranlassen ist. Die notwendigen Prüfmaßnahmen sind:

  • Prüfung des Status' der Eintragung auf der Safe Harbor-Liste: Das Unternehmen muss als "current" geführt sein. Zudem sollte das US-Unternehmen der Zusammenarbeit mit europäischen Datenschutzbehörden zugestimmt haben. Dies gilt jedenfalls dann, wenn Beschäftigtendaten übermittelt werden (vgl. Anhang II, FAQ 9, Frage 4 der Entscheidung der Kommission vom 26. Juli 2000 gemäß der RL 95/46/EG über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, 2000/520/EG [19]).
  • Prüfung der "privacy policy" des Importeurs: Soweit hier Unklarheiten bestehen, z.B. in Bezug auf Konflikte mit den Safe-Harbor-Grundsätzen oder in Bezug auf die in der policy genannten Verarbeitungszwecke, müssen diese aufgeklärt werden;
  • Prüfung, ob die Informationen für die Betroffenen hinreichend sind (siehe oben Informationspflicht)
  • Prüfung und Test des in der policy beschriebenen Systems zur Durchsetzung von Betroffenenrechten auf Plausibilität und Funktionsfähigkeit;
  • Kontaktaufnahme mit Personen, die als Ansprechpartner genannt werden und Befragung zu den entsprechenden Aufgaben;
  • Im Falle der Auftragsdatenverarbeitung: Sicherstellung, dass Informationen für die Beantwortung z.B. von Auskunftsersuchen in annehmbarer Zeit an den Auftraggeber weitergeleitet werden;
  • Prüfung, wie im Falle von Weiterübermittlungen der Daten ("onward transfers") durch den Importeur verfahren wird, d.h. insbesondere die Frage nach existierenden Vertragsmustern für die Weitergabe in Form der Auftragsdatenverarbeitung, Einräumung eines Widerspruchsrechts/Einholung der Einwilligung der Betroffenen.

Die Tätigkeiten, die im Zusammenhang mit dieser Prüfung erfolgen, sollten dokumentiert werden, um die Prüfung auf Anfrage der Aufsichtsbehörde nachweisen zu können.


Einzelnachweise

[1] BfDI: Safe Harbor
[2][3] Beschluss des Düsseldorfer Kreises am 28./29. April 2010 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe-Harbor-Abkommen durch das Daten exportierende Unternehmen
[4] Abhörsystem "Echelon", nicht-legislative Stellungnahme des Echelon-Ausschusses
[5] Bericht über die Existenz eines globalen Abhörsystems für private und wirtschaftliche Kommunikation (Abhörsystem ECHELON) (2001/2098 (INI))
[6] Europäische Kommission fordert Wiederherstellung des Vertrauens in die Datenströme zwischen der EU und den USA
[7][10] Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA - Häufig gestellte Fragen (MEMO/13/1059)
[8] Datenaustausch mit USA: Debatte über Safe-Harbour-Abkommen nach NSA-Skandal
[9] Entwurf eines Berichtes über das Überwachungsprogramm der Nationalen Sicherheitsagentur der Vereinigten Staaten, die Überwachungsbehörden in mehreren Mitgliedstaaten und die entsprechenden Auswirkungen auf die Grundrechte der EU-Bürger und die transatlantische Zusammenarbeit im Bereich Justiz und Inneres (2013/2188(INI))
[11][14] 31. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg, 1.3.7 Internationaler Datentransfer: Safe Harbor in stürmischen Zeiten
[12] Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013 Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten
[13] Beschluss des Düsseldorfer Kreises vom 11./12.09.2013 Datenübermittlung in Drittstaaten
[15] 2001/497/EG: Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, Aktenzeichen K(2001) 1539
[16] 2004/915/EG: Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, Aktenzeichen K(2004) 5271
[17] 2010/87/: Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, Aktenzeichen K(2010) 593
[18] BfDI: Personaldatenfluss im internationalen Konzern
[19] 2000/520/EG: Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" und der diesbezüglichen "Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, Aktenzeichen K(2000) 2441