(13.3.2013)
Wenn personenbezogene Daten an einen Empfänger außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) übermittelt werden sollen, ist stets eine 2-stufige Prüfung erforderlich.
Zunächst ist zu prüfen, ob es für die Übermittlung eine Rechtsgrundlage gibt, d. h. ob sie vorgenommen werden dürfte, wenn der Empfänger innerhalb der EU/des EWR säße.
Wenn dies der Fall ist, d. h. wenn es eine grundsätzlich Erlaubnis für eine Übermittlung der betreffenden Daten gibt, dann erfolgt eine zweite Prüfung, um zu klären, ob die Daten auch in das Drittland übermittelt werden dürfen.
Empfänger mit angemessenem Datenschutzniveau
Die Übermittlung darf erfolgen (sofern das Ergebnis der 1. Stufe positiv war), wenn beim Empfänger ein dem europäischen Datenschutzniveau vergleichbarer Schutz gewährleistet ist.
Ein angemessenes Datenschutzniveau ist gegeben…
wenn eine der folgenden Voraussetzung erfüllt ist:
- das Schutzniveau im Empfängerstaat wird von der EU-Kommission als angemessen angesehen. Derzeit trifft das auf folgende Länder zu: Schweiz, Kanada, Argentinien, Guernsey, Isle of Man, Jersey, Färöer-Inseln, Israel, Andorra, Uruguay und Neuseeland
- verbindliche Unternehmensregeln von den Aufsichtsbehörden anerkannt wurden (Stichwort: Binding Corporate Rules)
- die EU-Standardverträge [1] zusätzlich abgeschlossen wurden
- oder das datenempfangende Unternehmen in den USA ansässig ist und sich nach den Safe-Harbor-Grundsätzen selbst zertifiziert hat.
Was ist Safe Harbor?
Safe Harbor ist ein Programm, dem sich US-Unternehmen freiwillig anschließen können, damit sie personenbezogene Daten aus Europa empfangen dürfen.
Die Inhalte der Selbstverpflichtung sind:
- notice (Informationspflichten über die Art der Datenerhebung und -verarbeitung sowie über ihren Zweck, die Empfänger und die Wahlmöglichkeiten hinsichtlich der Begrenzung und der Nutzung und Übermittlung)
- choice (ein Wahlrecht hinsichtlich der Nutzung der Daten)
- onward transfer (bei der Weiterübermittlung der Daten an Dritte wird sichergestellt, dass dort das Datenschutzniveau nicht abfällt)
- security (technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung)
- data integrity (Sicherstellung der Integrität der Daten, also von Richtigkeit, Vollständigkeit, Aktualität und Erforderlichkeit im Einzelfall)
- access (das Recht der Betroffenen auf Auskunft über die zu ihrer Person gespeicherten Daten)
- enforcement (die effektive Durchsetzung der Prinzipien).
Hier finden Sie eine Liste der Safe Harbor angeschlossenen Unternehmen: www.safeharbor.export.gov/list
Stellungnahme des Düsseldorfer Kreises
(Der Düsseldorfer Kreis ist eine Vereinigung der obersten Datenschutz-Aufsichtsbehörden, die in Deutschland die Einhaltung des Datenschutzes im nicht-öffentlichen Bereich überwachen.)
Zum Thema Safe Harbor gibt es eine Stellungnahme des Düsseldorfer Kreises aus April 2010, die besagt, dass sich deutsche Unternehmen nicht ausschließlich auf den Verweis auf Safe Harbor verlassen dürfen, wenn sie Daten in die USA übermitteln wollen.
- Das Daten exportierende Unternehmen muss sich nachweisen lassen, dass die Safe-Harbor-Selbstzertifizierung vorliegt und dass deren Grundsätze auch eingehalten werden.
- Eine mehr als sieben Jahre zurückliegende Safe Habor-Zertifizierung ist nicht mehr gültig: Der Düsseldorfer Kreis weist darauf hin, dass dies durch den Auftraggeber zu überprüfen ist. Das deutsche Unternehmen muss sich nachweisen lassen, wie das US-Unternehmen seinen Informationspflichten nach Safe Harbor gegenüber den Betroffenen nachkommt (damit das importierende Unternehmen diese Information an die Betroffenen weitergeben kann).
Wie der Nachweis der Einhaltung der Regelungen zu erfolgen hat, ist noch nicht abschließend geklärt. Falls in Ihrem Unternehmen Safe Harbor als Rechtsgrundlage für eine Übermittlung in die USA dient, sprechen Sie uns an.
Nachtrag: Safe Harbor wurde durch Urteil des EuGH im Oktober 2015 aufgehoben und darf seitdem nicht mehr als Rechtsgrundlage herangezogen werden.