Was ist das „Safe Harbor Abkommen“?

In der Diskussion um den Datenschutz fällt häufig das Stichwort „Safe Harbor Abkommen“. Google, Facebook, Salesforce aber auch Kreditkartenunternehmen und andere US-Unternehmen belegen damit, dass bei ihnen persönliche Daten sicher aufgehoben sind.  Doch die deutschen Landesdatenschutzbeauftragten fordern seit 2010 eine Kündigung des Abkommens.

Was bedeutet das Safe Harbor Abkommen? Welche Vorraussetzungen müssen erfüllt sein?

Personenbezogene Daten europäischer Bürger dürfen nach EU-Recht nur in einem Land der europäischen Union gespeichert und verarbeitet werden. Ausnahmen gelten für eine kleine Anzahl aussereuropäischer Länder, in denen die EU Kommission den gleichen Grad an Datenschutz gewährleistet sieht.

Die USA und die EU haben eine grundsätzlich unterschiedliche Sensibilität und einen anderen Umgang mit der Privatsphäre ihrer Bürger. Um US-amerikanischen Unternehmen, die Verarbeitung auch im europäischen Verständnis sensibler Daten zu ermöglichen, wurde im Jahr 2000 das Safe Harbor Abkommen mit den USA getroffen. Damit ein Unternehmen sich als „sicheren Hafen“ bezeichnen lassen kann, muss es die sieben verbindlichen Grundsätze des Abkommens erfüllen, dies in einer Selbstbeurteilung (self-assessment) nachweisen und sich beim amerikanischen Handelsministerium registrieren lassen. Die Selbstbeurteilung und die Registrierung müssen jährlich erneuert werden.

Festgelegt sind diese sieben verbindliche Grundsätze für den Umgang mit personenbezogenen Daten von Privatpersonen:

Informationspflicht: Die Organisation muss darüber informieren, zu welchem Zweck die Daten genutzt werden, wie sie kontaktiert werden kann. Auch müssen die Kunden darüber informiert werden, an wen und wofür die Daten evtl. weitergegegeben werden und wie Kunden dies einschränken können.

Wahlmöglichkeit: Es ist den Kunden eine leicht zugängliche Möglichkeit zu geben, der Weitergabe ihrer Informationen zu widersprechen (opt-out) bzw. der Verwendung der Daten für andere Zwecke als ursprünglich angegeben.

Weitergabe: Private Daten dürfen unter dem Safe Habor Abkommen nur unter Berücksichtigung der Grundsätze der Informationspflicht und der Wahlmöglichkeit an andere Unternehmen oder Organisationen weitergegeben werden.

Sicherheit: Die Organisation muss die private Daten zuverlässig gegen Verlust, Missbrauch, unbefugtem Zugriff, Änderung und Weitergabe schützen.

Datenintegrität: Die Daten dürfen nur zu dem angegebenen Zweck genutzt werden und müssen dafür auch erforderlich sein. Es muss sicher sein, dass die Daten korrekt sind und bleiben.

Auskunftsrecht: Die Privatpersonen, die den Dienst nutzen, müssen sich einfach informieren können, was über sie gespeichert wird und ggf. diese selber zu korrigieren oder zu löschen.

Durchsetzung: Es müssen Instrumente geschaffen sein, die sicherstellen, dass diese Grundsätze eingehalten werden. Beschwerde sollen durch ein einfach zu nutzendes und erschwingliches Verfahren gelöst werden.

Erfüllt ein us-amerikanisches Unternehmen diese Anforderungen, so steht – rein rechtlich – der Verarbeitung personenbezogener Daten von EU-Bürgern nichts im Wege.

Lesen Sie im nächsten Artikel, welche Kritik am Safe Harbor Abkommen besteht und welche Risiken sich daraus ergeben.

One Response to Was ist das „Safe Harbor Abkommen“?

Kommentar verfassen

We would love to work with you, so get in touch with us today and lets chat about your project.

There are no icons to display.