Datenschutz: Einordnung von Safe Harbor
21.10.2015
[IITR – 21.10.15] Die Safe Harbor Vereinbarung wurde im Jahre 2000 in Kraft gesetzt. Trotz des umgangssprachlich erzeugten Eindrucks handelt es sich nicht um ein zwischenstaatliches Abkommen, sondern um ein amerikanisches Datenschutz-Programm für US-Unternehmen, welches von der EU-Kommission als ausreichende Grundlage zur Datenübermittlung anerkannt wurde.
Zur zeitlichen Einordnung:
1998: Gründung der Firma Google.
1999: das erste Angebot für Cloud-Dienste durch Salesforce.
2002: In das rechtliche Umfeld von Safe Harbor greift der Homeland Security Act ein, als Folge des 9/11 Angriffs auf das World Trade Center. Ziel ist die globale Verhinderung von Terrorakten.
2004: Gründung von Facebook.
Die Verkündung der Charta der Grundrechte der EU erfolgte am 7. Dezember 2000. Rechtskraft wird der Charta der Grundrechte der EU erst am 1. Dezember 2009 zugewiesen, zusammen mit dem Vertrag von Lissabon.
Artikel 7, „Achtung des Privat- und Familienlebens“:
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.
Artikel 8, „Schutz personenbezogener Daten“:
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Der Homeland Security Act kollidiert nach Rechtsauffassung des EuGH mit diesen Grundrechten, die zum Zeitpunkt der Safe Harbor Vereinbarung allerdings nicht absehbar waren oder keine Gültigkeit hatten.
Der Homeland Security Act aus dem Jahre 2002 ermächtigt US-Dienste, zur Gefahrenabwehr auf Daten von Nicht-US-Bürgern zuzugreifen, um diese auszuforschen. Diese als NSA-Skandal diskutierte Verfahrensweise wurde bekanntgemacht durch die Veröffentlichungen von Edward Snowden.
Hierbei setzten amerikanische Dienste unter anderem das Überwachungsprogramm Prism ein. Entgegen des öffentlich entstandenen Eindrucks handelt es sich dabei nicht um einen „direkten Zugriff“ auf sämtlichen Datenverkehr (vgl. vertiefend c`t 22/15, S. 84, Direkt indirekt – Lexikon des NSA-Skandals: Prism, Martin Holland; hier wird die Arbeitsweise von Prism dargestellt, sowie die Grenzen der vermuteten Zusammenarbeit des Zugriffs auf Datenbestände der US- Firmen).
Zitat: „Auch wenn Prism nicht die weltumspannende Massenüberwachung ist, nach der das Programm anfangs aussah, bleibt ein massiver Eingriff in die Privatsphäre aller Internet-User, die nicht das Glück einer US-Staatsbürgerschaft haben.“
Diesem Umstand kann und konnte Safe Harbor nicht Rechnung tragen, weil es als Vorlage des US Department of Commerce unter anderem nie für Notwendigkeiten von für den Staatsschutz zuständigen Behörden angelegt sein konnte.
Safe Harbor wird in der Öffentlichkeit ganz allgemein als beendet betrachtet, selbst wenn dies formell derzeit nicht der Fall ist. Auch eine neue Veröffentlichung des EuGH unterstreicht die Auffassung, dass der Gerichtshof gar nicht über Safe Harbor entschiede habe.
Selbst die ersatzweise zum Einsatz gelangenden EU-Standardverträge scheinen nach Einschätzung durch die Artikel-29-Gruppe mittelfristig als nicht mehr tragfähig betrachtet zu werden.
Der personenbeziehbare Datensatz eines Europäers beansprucht offenbar einen rechtlichen Schutzraum, welcher ihn auf seiner Reise in andere Rechtsräume der Welt zu begleiten scheint. Diese Vorgabe des EuGH will nun durchgesetzt werden.
Safe Harbor war ein taugliches Instrument, der technischen Entwicklung sowie der Internationalisierung der Datenverarbeitung einen Rahmen zu geben. Wird eine Fortsetzung dieser globalen Entwicklung gewünscht, so werden dringend neue durch Unternehmen noch handhabbare Rahmenbedingungen erforderlich.
Beitrag von:
Eckehard KraskaTelefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.