Trust Issues – Vertrauensprobleme in der EU …

…oder wie Safe Harbor eine (amerikanisch-europäische) Beziehung auf die Probe stellt

Die Europäische Kommission hat im November 2013 eine „Mitteilung zum Funktionieren von Safe Harbour aus der Perspektive der EU-Bürger und von in der EU ansässigen Unternehmen“ (COM(2013) 847 „on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“, Download PDF, englisch) veröffentlicht.

Auslöser waren insbesondere die diesjährigen Enthüllungen über das Ausspionieren personenbezogener Daten europäischer Politiker, die eine erhebliche Störung des Vertrauensverhältnisses zwischen der EU und den USA nach sich zogen. Dass bei der Gewinnung dieser personenbezogenen Daten Prinzipien des Safe Harbour Abkommens verletzt wurden ist kaum auszuschließen und wirft Fragen zur Sicherheit der Daten im internationalen Datenverkehr und auch Kritik an der Durchsetzung der Bedingungen des Abkommens auf, insbesondere da die Unternehmen, die am PRISM Programm beteiligt sind und die den US Behörden Zugang zu personenbezogenen Daten gewährt haben, alle am Safe Harbour Abkommen beteiligte und entsprechend zertifizierte Unternehmen waren.

Das Safe Harbour Abkommen

Das Safe Harbour Abkommen wurde im Juli 2000 eingeführt und besteht aus Prinzipien und sogenannten FAQ (Frequently Asked Questions), die ein angemessenes Schutzniveau für den Transfer personenbezogener Daten von der EU in die USA gewährleisten sollen; nur dann ist die Datenübermittlung in einen Drittstaat erlaubt. Die Europäische Kommission kann hierbei jederzeit die Safe Harbour Bedingungen angleichen, den Umfang erweitern oder sie abschaffen. Dies  kann z.B. dann geschehen, wenn auf Seiten der beteiligten US-amerikanischen Behörden erhebliche Missstände herrschen.

Selbstverpflichtung und Selbstzertifizierung

Safe Harbour basierte auf dem System der Selbstverpflichtung und Selbstzertifizierung und ist freiwillig für alle US-Unternehmen. Bedingung ist die Offenlegung der unternehmensinternen Datenschutz-Richtlinien, die Einbeziehung der Safe Harbour Prinzipien in eben diese und die zwangsweise Durchsetzung derselben notwendigenfalls durch staatliche Behörden. Frei nach dem Motto „Vertrauen ist gut – Kontrolle ist besser“ wird dieses Prinzip der Selbst-Zertifizierung wegen des großen Vertrauens, was den Unternehmen damit entgegen gebracht wird, immer wieder stark kritisiert, weil immer wieder solche übermittelten personenbezogene Daten nicht dem ursprünglichen Zweck gemäß verwendet oder nicht sicher aufbewahrt werden.

Anforderungen an Safe Harbour-Unternehmen

Um ein Safe Harbour-Unternehmen zu werden, müssen US-Unternehmen zum einen in ihren öffentlich einsehbaren Datenschutz-Richtlinien die Anerkennung und Einhaltung der Safe Harbour Prinzipien erklären und zum anderen gegenüber dem US-amerikanischen Handels- und Wirtschaftsministerium die Einhaltung dieser Prinzipien selbst (jährlich) zertifizieren. Hinweise für Unternehmen, die dem Safe Harbour Abkommen beitreten wollen, finden sich als „Anleitung zur Selbst-Zertifizierung“ (Guide to Self-Certification) und als „Hilfreiche Tipps zur Ordnungsmäßigkeit der Selbst-Zertifizierung“ (Helfpul Hints on Self-Certifying Compliance)  auf der Website des US-amerikanischen Handels- und Wirtschaftsministeriums.

Seit dem 1. Januar 2009 wird bei den Unternehmen vor der Erneuerung des jährlichen Zertifikats der Safe Harbour Zugehörigkeit eine Untersuchung durchgeführt. Da es sich jedoch um eine sogenannte Selbstzertifizierung handelt, wird die aktuelle Praxis in den Unternehmen nicht vollständig durchleuchtet, um so die Glaubwürdigkeit der Selbstzertifizierung nicht zu unterlaufen.

Austritt eines Unternehmens aus Safe Harbour

Für den Fall, dass ein US-amerikanisches Unternehmen aus Safe Harbour austritt oder das jährliche Zertifikat nicht verlängert wird, muss sich das Unternehmen trotzdem weiterhin an die durch Safe Harbour vorgegebenen Prinzipien im Bezug auf Daten halten, die unter Safe Harbour fallen, solange es solche Daten aufbewahrt, benutzt oder offenlegt. Hierzu erhält das Unternehmen einen Monat vor Ablauf des aktuellen Zertifikats Verhaltenshinweise.

Liste aller Safe Harbour-Unternehmen

Die Kartellbehörde führt auf ihrer Website eine Liste aller Unternehmen, die unter die Bedingungen des Safe Harbour Beschlusses der Europäischen Kommission fallen. Um die Transparenz dieser Liste zu verbessern schlägt die Kommission in seiner Mitteilung COM(2013) 847 (s.o.) vor, dass in dieser Liste alle Unternehmen, die (momentan) nicht mehr unter Safe Harbour fallen, ebenfalls aufgeführt und deutlich gekennzeichnet werden, zusammen mit einem (graphisch erkennbaren) Hinweis darauf, warum das Unternehmen nicht mehr dem Safe Harbour Abkommen unterfällt. Schon vor Eingang einer Individualbeschwerde soll das Kartellamt aktiv auf die Einbeziehung der Safe Harbour Prinzipien in die jeweiligen Datenschutz-Richtlinien eines Unternehmens hinwirken und bei Nichtbeachtung das Unternehmen ggf. zur Rechenschaft ziehen.

Maßnahmen der Aufsichtsbehörde

Das US-amerikanische Handels- und Wirtschaftsunternehmen kann bei Verletzung der Safe Harbour-Bedingungen Maßnahmen ergreifen und gab im August 2013 bekannt, dass es Unternehmen mit Zugang zu einer großen Menge an personenbezogenen Daten verstärkt kontrollieren würde. Obwohl jedes Jahr nur sehr wenige Beschwerden bei den zuständigen Behörden eingereicht werden, darf daraus nicht der Schluss gezogen werden, dass die Prinzipien des Safe Harbour Abkommens von allen Unternehmen ansatzlos eingehalten werden. Vielmehr sollte stets darauf geachtet werden, dass so wenige personenbezogene Daten wie möglich übermittelt werden und die Einhaltung der Prinzipien durch die US-amerikanischen Unternehmen stets überprüft werden. Insbesondere sollte überprüft werden, ob das Unternehmen, an das personenbezogene Daten übermittelt werden sollen, die Bedingungen des Safe Harbour Abkommens tatsächlich in seine Datenschutz Richtlinien aufgenommen hat.

Empfehlungen der Kommission zu Safe Harbour

Die Europäische Kommission veröffentlicht am Ende ihrer Mitteilung auch Empfehlungen für Safe Harbour-konformes Verhalten US-amerikanischer Unternehmen. Gegliedert sind diese sog. „recommendations“ in Transparenz, Rechtshilfe, Durchsetzung und Zugang durch US-Behörden. Unter dem Stichwort Transparenz findet sich erneut der Hinweise auf die Veröffentlichung der unternehmensinternen Datenschutz-Richtlinien auf der Unternehmensseite (insbesondere auch bei Datenübermittlungen an Subunternehmer) mit Verlinkung zu der Liste aller Safe Harbour-Unternehmen auf der Website des Handels- und Wirtschaftsministeriums, auf der die Unternehmen, die nicht mehr Teil von Safe Harbour sind, gekennzeichnet sein sollten.

Im Bezug auf die Rechtshilfe empfiehlt die Europäische Kommission Hinweise auf unbeteiligte Streitschlichtungsstellen und eine schnelle und erschwingliche Streitbeilegung auf den Websites der Unternehmer und die Beobachtung der Tätigkeiten der Streitschlichtungsstellen durch das Handels- und Wirtschaftsministerium. Zur Durchsetzung und Sicherstellung der Safe Harbour Prinzipien sollten auch ohne vorangegangene Beschwerden Kontrollen und bei Verstößen gegen die Prinzipien ein Jahr später Nachfolgeuntersuchungen durchgeführt werden. Besonders schwierig unterzubringen sind die Unterschiede zwischen europäischem und amerikanischem Datenschutzrecht. Wichtig ist in dem Zusammenhang, dass die Datenschutz-Richtlinien der US-amerikanischen Unternehmen die Informationen enthalten inwiefern es das US-Recht öffentlichen Stellen erlaubt, Daten zu sammeln und zu verarbeiten, welche unter Safe Harbor übermittelt wurden und dass Ausnahmen zur Sicherstellung der nationalen Sicherheit nur in Fällen gemacht werden, wo es absolut erforderlich und verhältnismäßig ist.

Auch wenn immer neue Maßnahmen getroffen werden, um die Einhaltung des Datenschutzniveaus in den USA sicher zu stellen, empfiehlt sich für jedes Unternehmen sich zunächst selbst „schlau“ zu machen. Ein Blick in die Liste der Unternehmen, die sich den Safe Harbour-Prinzipien unterworfen haben, findet man auf der Website des Department of Commerce (Handels- und Wirtschaftsministerium), auf der man sich vergewissern sollte, ob das Unternehmen, dem man plant personenbezogene Daten zu übermitteln, zu den Safe Harbour-Unternehmen gehört.

Empfehlungen an europäische Unternehmen mit Safe-Harbour-Kontakten

Europäischen Unternehmen, die Daten in die USA übermitteln ist darüber hinaus zu empfehlen, dass sie sich bei den US-amerikanischen Unternehmen darüber informieren, ob und in welchem Umfang die übermittelten Daten Dritten zugänglich sein werden, denn allzu oft müssen die europäischen Unternehmen im Nachhinein feststellen, dass die von ihnen übermittelten Daten dritten Unternehmen zugänglich waren. Auch wenn hierin möglicherweise ein Verstoß gegen das Safe Harbour Abkommen liegt und das Unternehmen möglicherweise Wiedergutmachung leisten muss, sind die Daten im Umlauf. Den europäischen Unternehmen ist somit dringend geraten im Vorfeld der Datenübermittlung detaillierte Informationen über den Zeck und die Verwendung der Daten bei dem US-amerikanischen Unternehmens anzufordern.

Das europäische sowie das deutsche Datenrecht legen ein besonders hohes Datenschutzniveau zu Grunde. Da jedes europäische Unternehmen selbst in der Pflicht steht die Einhaltung dieses Datenschutzniveaus im Empfängerland sicherzustellen, ist dringend zu empfehlen einen Experten im Vorfeld der Übermittlung personenbezogener Daten zu Rate zu ziehen, um die Beachtung aller datenschutzrechtlich relevanten Vorschriften sicherzustellen. Sind die personenbezogenen Daten einmal bei einem Unternehmen in den USA, das kein angemessenes Datenschutzniveau sicherstellt, hat das europäische Unternehmen meist das Nachsehen und ist gegebenenfalls Schadensersatzansprüchen der Betroffenen ausgesetzt, weil es sich nicht umfassend über das Drittstaats-Unternehmen informiert hat.

Den amerikanischen Unternehmen wird  grundsätzlich empfohlen in ihren Datenschutz-Richtlinien einen Link, der zu der Liste aller an Safe Harbour beteiligten Unternehmen auf der Seite des Handels- und Wirtschaftsministeriums führt, zu integrieren.