Update (07.10.2015): Durch ein Urteil des EuGH ist das Safe-Harbor-Abkommen (in der derzeitigen Form) Geschichte! Was das in der Praxis bedeutet, lesen Sie in unserer Analyse!
Das Safe-Harbor-Abkommen zwischen der EU und den USA wirft immer wieder Fragen auf - und sorgt in der Praxis für Kopfzerbrechen: Dürfen Daten an amerikanische Firmen (Software-Unternehmen, Cloud-Anbieter, usw.) übermittelt werden - oder doch nicht?
Kurz zur Erklärung: Das Datenschutz-Gesetz schreibt grundsätzlich vor, dass für eine Datenübermittlung in das EU-Ausland eine Genehmigung (!) der Datenschutzbehörde erforderlich ist. Das betrifft ein Unternehmen in Österreich schneller, als viele vielleicht denken: Zum Beispiel, wenn man
u.v.m.
In all diesen Fällen schiebt das Datenschutz-Gesetz einen klaren Riegel vor, denn die Genehmigung durch die Datenschutzbehörde wird nur unter bestimmten Voraussetzungen erteilt (die wichtigste Voraussetzung: In dem Zielland muss ein angemessenes Datenschutz-Niveau gegeben sein, dass mit jenem der EU vergleichbar ist).
Da dieser Weg lange und aufwändig ist, wurde zwischen der EU und den USA das "Safe-Harbor-Abkommen" vereinbart. Die Grundidee: Dadurch sollen den teilnehmenden amerikanischen Organisationen quasi ein Status wie Unternehmen in der EU ermöglicht werden (was den Datenschutz betrifft).
Amerikanische Unternehmen können dem Abkommen beitreten und erklären damit, dass sie ein Datenschutz-Niveau einhalten, das mit jenem in der EU vergleichbar ist. Damit soll eine Datenübermittlung an solche Unternehmen in den USA datenschutzrechtlich unbedenklich werden und keiner Genehmigung durch die Datenschutzbehörde bedürfen - so jedenfalls der Sinn des Abkommens.
Viele der "großen" Unternehmen haben das Abkommen mittlerweile unterzeichnet - zum Beispiel Google, WordPress oder Microsoft. Eine aktuelle Liste (samt Such-Funktion) fand man auf einer Website des amerikanischen Handels-Ministeriums (Link mittlerweile nicht mehr verfügbar).
Wenn sich ein US-Unternehmen eintragen möchte, geschieht dies mit einem simplen Formular, in dem der amerikanischen FTC (Federal Trade Commission) eine Erklärung abgegeben wird, dass sich das Unternehmen "an die Regeln" hält.
Dieses wird inhaltlich jedoch nicht geprüft: Die amerikanischen Behörden gehen von einer Selbstverantwortung der Unternehmen aus. Es gibt also im Vorhinein keine Möglichkeit zu überprüfen, wie es um den Datenschutz in einem solchen Unternehmen tatsächlich bestellt ist (genau dazu wäre ein österreichisches Unternehmen jedoch verpflichtet).
Die Unternehmen müssen den Beitritt jährlich verlängern; ein österreichisches Unternehmen muss sich also regelmäßig davon überzeugen, ob der amerikanische Anbieter weiterhin gelistet ist (es gibt keine Benachrichtigung bei einem Austritt aus der Liste).
Auf den ersten Blick scheint das Safe-Harbor-Abkommen grundsätzlich ja eine gute Idee zu sein - quasi ein Freibrief, um amerikanische Anbieter wählen zu können (zumindest jene, die das Abkommen unterzeichnet haben). An solche Unternehmen wäre eine Übertragung von personenbezogenen Daten also datenschutzrechtlich unbedenklich. Soweit die Theorie.
Doch viele Datenschutz-Experten und Juristen vertreten genau die gegenteilige Meinung - und zwar aus mehreren Gründen:
Das Abkommen steht seit Jahren stark in Kritik und ist zum Beispiel nach Meinung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein "das Papier nicht wert, auf dem es geschrieben steht". (siehe dazu den Artikel in ix)
Ein kleines Beispiel: Der bekannte amerikanische E-Mail-Software Anbieter "Mailchimp" gibt im Safe-Harbor-Abkommen bei dem Punkt "Agrees to Cooperate and Comply with the EU and/or Swiss Data Protection Authorities" einfach ein "No" an.
So kommt auch die unabhängige Unternehmensberatung "Galexia" in einer umfassenden Studie (PDF) zum Safe-Harbor-Abkommen zu einem vernichtenden Urteil. Beispielsweise deckte die Studie auf, dass zahlreiche Unternehmen auf der Safe-Harbor-Liste gar nicht (mehr) existieren oder sich viele nicht einmal an die grundlegenden Verpflichtungen (wie eine Datenschutz-Erklärung) halten. Ihr Resume: "This study raises concerns that many aspects of the Safe Harbor Framework are not working."
Nein. Denn nach österreichischem Datenschutz-Recht ist jedes Unternehmen verpflichtet, den Datenschutz sicher zu stellen - auch und gerade wenn Daten an Dritte übermittelt werden. Eine Unterzeichnung des Safe-Harbor-Abkommens ist jedoch keine Garantie, dass ein amerikanisches Unternehmen sich tatsächlich und faktisch an europäische Datenschutz-Standards hält.
Um auf der sicheren Seite zu bleiben, sollten also aus Kundensicht an einen amerikanischen Anbieter keine personenbezogenen Daten - wie etwa in einem E-Mail-Service oder CRM-System - übermittelt werden. Zumindest so lange, bis das Safe-Harbor-Abkommen auch tatsächlich sicherstellt, dass die Daten von dem Anbieter mit einer vergleichbaren datenschutzrechtlichen Sorgfalt behandelt werden wie es das DSG vorschreibt.
Dann verpassen Sie keinen mehr! Die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.