Mythos Safe-Harbor-Abkommen
Update (07.10.2015): Durch ein Urteil des EuGH ist das Safe-Harbor-Abkommen (in der derzeitigen Form) Geschichte! Was das in der Praxis bedeutet, lesen Sie in unserer Analyse!
Das Safe-Harbor-Abkommen zwischen der EU und den USA wirft immer wieder Fragen auf - und sorgt in der Praxis für Kopfzerbrechen: Dürfen Daten an amerikanische Firmen (Software-Unternehmen, Cloud-Anbieter, usw.) übermittelt werden - oder doch nicht?
Der datenschutzrechtliche Hintergrund
Kurz zur Erklärung: Das Datenschutz-Gesetz schreibt grundsätzlich vor, dass für eine Datenübermittlung in das EU-Ausland eine Genehmigung (!) der Datenschutzbehörde erforderlich ist. Das betrifft ein Unternehmen in Österreich schneller, als viele vielleicht denken: Zum Beispiel, wenn man
- einen Newsletter über ein amerikanisches System verschickt (Mailchimp & Co)
- Kundendaten in einem CRM-System verwaltet (Salesforce, Microsoft Dynamics — sofern die Daten nicht auf dem eigenen Server gespeichert werden — usw.)
- ein Cloud-Service nutzt, in dem (auch) personen-bezogene Daten gespeichert werden (z.B. eine Excel-Liste mit Gewinnspiel-Teilnehmern in Dropbox)
u.v.m.
In all diesen Fällen schiebt das Datenschutz-Gesetz einen klaren Riegel vor, denn die Genehmigung durch die Datenschutzbehörde wird nur unter bestimmten Voraussetzungen erteilt (die wichtigste Voraussetzung: In dem Zielland muss ein angemessenes Datenschutz-Niveau gegeben sein, dass mit jenem der EU vergleichbar ist).
Da dieser Weg lange und aufwändig ist, wurde zwischen der EU und den USA das "Safe-Harbor-Abkommen" vereinbart. Die Grundidee: Dadurch sollen den teilnehmenden amerikanischen Organisationen quasi ein Status wie Unternehmen in der EU ermöglicht werden (was den Datenschutz betrifft).
Was ist das Safe-Harbor-Abkommen?
Amerikanische Unternehmen können dem Abkommen beitreten und erklären damit, dass sie ein Datenschutz-Niveau einhalten, das mit jenem in der EU vergleichbar ist. Damit soll eine Datenübermittlung an solche Unternehmen in den USA datenschutzrechtlich unbedenklich werden und keiner Genehmigung durch die Datenschutzbehörde bedürfen - so jedenfalls der Sinn des Abkommens.
Viele der "großen" Unternehmen haben das Abkommen mittlerweile unterzeichnet - zum Beispiel Google, WordPress oder Microsoft. Eine aktuelle Liste (samt Such-Funktion) fand man auf einer Website des amerikanischen Handels-Ministeriums (Link mittlerweile nicht mehr verfügbar).
Wie tritt ein Unternehmen dem Safe-Harbor-Abkommen bei?
Wenn sich ein US-Unternehmen eintragen möchte, geschieht dies mit einem simplen Formular, in dem der amerikanischen FTC (Federal Trade Commission) eine Erklärung abgegeben wird, dass sich das Unternehmen "an die Regeln" hält.
Dieses wird inhaltlich jedoch nicht geprüft: Die amerikanischen Behörden gehen von einer Selbstverantwortung der Unternehmen aus. Es gibt also im Vorhinein keine Möglichkeit zu überprüfen, wie es um den Datenschutz in einem solchen Unternehmen tatsächlich bestellt ist (genau dazu wäre ein österreichisches Unternehmen jedoch verpflichtet).
Die Unternehmen müssen den Beitritt jährlich verlängern; ein österreichisches Unternehmen muss sich also regelmäßig davon überzeugen, ob der amerikanische Anbieter weiterhin gelistet ist (es gibt keine Benachrichtigung bei einem Austritt aus der Liste).
Nicht alles Friede, Freude, Eierkuchen
Auf den ersten Blick scheint das Safe-Harbor-Abkommen grundsätzlich ja eine gute Idee zu sein - quasi ein Freibrief, um amerikanische Anbieter wählen zu können (zumindest jene, die das Abkommen unterzeichnet haben). An solche Unternehmen wäre eine Übertragung von personenbezogenen Daten also datenschutzrechtlich unbedenklich. Soweit die Theorie.
Doch viele Datenschutz-Experten und Juristen vertreten genau die gegenteilige Meinung - und zwar aus mehreren Gründen:
- Die Safe-Harbor-Liste ist eine reine Selbstverpflichtung. Jedes amerikanische Unternehmen kann es unterzeichen - doch es gibt keinerlei Prüfung (weder formell noch faktisch), ob sich die Unternehmen auch tatsächlich an europäische Datenschutz-Standards halten.
- Darüber hinaus gibt es keine Sanktionen: Wenn einem Anbieter nachgewiesen wird, dass er EU-Standards nicht einhält, hat der Verstoß für dieses Unternehmen in der Regel keine Konsequenzen.
- Speziell bei der Durchsetzung von Betroffenen-Rechten wie etwa Informations-pflichten erweist sich der vorgesehene Ablauf als kaum praktikabel. Einzelpersonen werden nachrangig behandelt; de facto haben diese in der Praxis keine Chance, ihre Rechte wahrzunehmen.
- Nach 9/11 wurden Gesetze in den USA verabschiedet, die der Regierung und den Behörden weitgehenden Zugriff auf Daten der Unternehmen einräumen. Dagegen haben amerikanischen Unternehmen kaum eine Handhabe - datenschutzrechtlich natürlich hochgradig problematisch.
Fazit: Das Safe-Harbor-Abkommen schützt vor Strafe nicht.
Das Abkommen steht seit Jahren stark in Kritik und ist zum Beispiel nach Meinung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein "das Papier nicht wert, auf dem es geschrieben steht". (siehe dazu den Artikel in ix)
Ein kleines Beispiel: Der bekannte amerikanische E-Mail-Software Anbieter "Mailchimp" gibt im Safe-Harbor-Abkommen bei dem Punkt "Agrees to Cooperate and Comply with the EU and/or Swiss Data Protection Authorities" einfach ein "No" an.
So kommt auch die unabhängige Unternehmensberatung "Galexia" in einer umfassenden Studie (PDF) zum Safe-Harbor-Abkommen zu einem vernichtenden Urteil. Beispielsweise deckte die Studie auf, dass zahlreiche Unternehmen auf der Safe-Harbor-Liste gar nicht (mehr) existieren oder sich viele nicht einmal an die grundlegenden Verpflichtungen (wie eine Datenschutz-Erklärung) halten. Ihr Resume: "This study raises concerns that many aspects of the Safe Harbor Framework are not working."
Kann einem österreichischen Unternehmen das nicht egal sein?
Nein. Denn nach österreichischem Datenschutz-Recht ist jedes Unternehmen verpflichtet, den Datenschutz sicher zu stellen - auch und gerade wenn Daten an Dritte übermittelt werden. Eine Unterzeichnung des Safe-Harbor-Abkommens ist jedoch keine Garantie, dass ein amerikanisches Unternehmen sich tatsächlich und faktisch an europäische Datenschutz-Standards hält.
Um auf der sicheren Seite zu bleiben, sollten also aus Kundensicht an einen amerikanischen Anbieter keine personenbezogenen Daten - wie etwa in einem E-Mail-Service oder CRM-System - übermittelt werden. Zumindest so lange, bis das Safe-Harbor-Abkommen auch tatsächlich sicherstellt, dass die Daten von dem Anbieter mit einer vergleichbaren datenschutzrechtlichen Sorgfalt behandelt werden wie es das DSG vorschreibt.
Möchten Sie mehr?
In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.