© 2016 Deutscher Bundestag PE 6 - 3000 – 74/13

Fragen zur Anwendung der Safe Harbor Grundsätze zwischen der EU
und den USA

Ausarbeitung

Unterabteilung Europa
Fachbereich Europa



Ausarbeitungen und andere Informationsangebote der Wissenschaftlichen Dienste geben nicht die Auffassung des
Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der
fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Der Deutsche Bundestag
behält sich die Rechte der Veröffentlichung und Verbreitung vor. Beides bedarf der Zustimmung der Leitung
der Abteilung P, Platz der Republik 1, 11011 Berlin.

Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 2

Fragen zur Anwendung der Safe Harbor Grundsätze zwischen der EU und den USA

Aktenzeichen: PE 6 - 3000 – 74/13
Abschluss der Arbeit: 12.07.2013
Fachbereich: PE 6: Fachbereich Europa



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 3

Inhaltsverzeichnis

1. Fragestellung 4

2. Rechtliche Grundlagen 4

3. Diskussion um die Adäquanz des Datenschutzniveaus
nach Implementierung der Safe Harbor Grundsätze 8

4. Möglichkeiten einer Änderung der
Adäquanzentscheidung 10

4.1. Änderung durch die Mitgliedstaaten 10
4.2. Änderung durch die Kommission 11
4.3. Zwischenergebnis 12

5. Rechtsfolgen und Handlungsalternativen 12



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 4

1. Fragestellung

In der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA) bestehen
unterschiedliche Zugänge zu Grad und Umfang des notwendigen Datenschutzes bei der
Verarbeitung von personenbezogenen Daten durch private Marktakteure.1 Um potenzielle, aus
den divergierenden Datenschutzmaßstäben resultierende Handelskonflikte zu vermeiden, wurde
im Jahr 2000 die Anwendung der „Safe Harbor Grundsätze“ für den Datenverkehr zwischen den
USA und der EU vereinbart. Die US-Regierung hat der Kommission die Implementierung eines
entsprechenden, nationalen Regelwerks angezeigt. Im Gegenzug hat die Kommission das
Bestehen eines grundsätzlich adäquaten Datenschutzniveaus in den USA anerkannt.

Die Ausarbeitung geht auf die rechtlichen Grundlagen der Anwendung der Safe Harbor
Grundsätze (2) sowie, ausgehend von der Diskussion um deren wirksame Implementierung in
den USA (3), auf Fragen der Abänderbarkeit bzw. Aufhebung von Adäquanzentscheidungen der
Kommission (4) sowie auf deren Rechtsfolgen und auf mögliche Handlungsalternativen (5) ein.

2. Rechtliche Grundlagen

Die Divergenz der Datenschutzstandards zwischen den USA und der EU geriet 1995 in den Fokus
eines potenziellen Handelskonflikts, als das europäische Datenschutzrecht mit der Richtlinie
95/46/EG „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und
zum freien Datenverkehr“2 (RL 95/46/EG) durch gemeinsame Rahmenbedingungen für die
Erhebung, Speicherung und Verarbeitung personenbezogener Daten gestärkt wurde.

Auf Grundlage der RL 95/46/EG wird eine Datenübermittlung und Datenverarbeitung innerhalb
der Grenzen der EU oder des Europäischen Wirtschaftsraumes (EWR) grundsätzlich als zulässig
angesehen, soweit sie den Anforderungen der RL 95/46/EG entsprechen. Die Übermittlung
personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung
verarbeitet werden sollen, in ein Drittland ist gemäß Art. 25 und 26 RL 95/46/EG hingegen nur
dann zulässig, wenn in diesem ein angemessenes Datenschutzniveau gewährleistet ist.
Dienstleistungsanbieter sind nur dann berechtigt, Daten von und zu einem Drittland zu
übertragen, wenn die Mitgliedstaaten oder die Europäischen Kommission adäquate
Datenschutzstandards in diesem festgestellt haben. Die Beurteilung des adäquaten
Datenschutzniveaus in einem Drittland erfolgt in der Regel durch die Europäische Kommission

1 Vgl. Europäische Kommission, Comparative Study on different Approaches to new Privacy Challenges, in particular
 in the Light of technological Developments, B.1 – United States of America, 2010, online abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_country_report_
B1_usa.pdf sowie die Stellungnahme der US-Regierung “Five Myths Regarding Privacy and Law Enforcement
Access to Personal Information in the European Union and the United States”, online abrufbar unter
http://photos.state.gov/libraries/useu/231771/PDFs/Five%20Myths%20Regarding%20Privacy%20and%20Law
%20Enforcement_October%209_2012_pdf.pdf.

2 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281/31, zuletzt
geändert durch Verordnung (EG) Nr. 1882/2003 vom 29. September 2003, Abl. L 284/1 31.10.2003, online
abrufbar unter http://eurlex
.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:1995L0046:20031120:DE:PDF.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 5

im Verfahren gemäß Art. 26 Abs. 6, 31 Abs. 2 RL 95/46/EG unter Berücksichtigung der
Stellungnahme der Art. 29-Gruppe3.4

Im Jahr 1999 stellte die Europäische Kommission fest, dass das US-amerikanische
Datenschutzrecht kein adäquates Schutzniveau im Sinne von Art. 25 RL 95/46/EG gewährleiste
und die USA somit für Datenübermittlungen aus der EU und dem EWR als unsicheres Drittland
zu gelten haben.5 Dementsprechend wurde die Übermittlung personenbezogener Daten in die
USA solange als widerrechtlich angesehen, wie die in die USA übermittelten Daten durch die an
der Übermittlung beteiligten Parteien kein dem europäischen Datenschutzniveau vergleichbaren
angemessenen Schutz erfahren.

Während die Schutzmaßnahmen der Art. 25, 26 RL 95/46/EG aus europäischer Sicht das
europäische Grundrecht auf Datenschutz widerspiegeln,6 sah die US-Regierung hierin vielmehr
ein nichttarifäres Handelshemmnis.7 Um den Datenaustausch zwischen der EU und einem ihrer
wichtigsten Handelspartner trotz der unterschiedlichen Datenschutzstandards nicht völlig zu
unterbinden, entwickelten die Europäische Kommission und das U.S. Department of Commerce
(DoC) einen Rahmen für die Anwendung der sognannten Safe Harbor Grundsätze zwischen den

3 Die Artikel 29-Gruppe („Working Party on the Protection of Individuals with Regard to the Processing of
Personal Data“) wurde gem. Art. 29 RL 95/46/EG konstituiert und hat beratende Funktionen bei
datenschutzrechtlichen Angelegenheiten inne; als Working Paper (WP) werden die offiziellen Stellungnahmen
der Gruppe bezeichnet.

4 Däubler/Klebe/Wedde/Weichert, Handkommentar zum Bundesdatenschutzgesetz, 2010, S. 166 f.

5 Art. 29-Gruppe, Opinion 1/99 (26.01.1999) „Concerning the Level of Data Protection in the United States and
the Ongoing Discussions Between the European Commission and the United States Government“, online
abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation
/files/1999/wp15_en.pdf.

6 Vgl. beispielhaft EuGH, verb. Rs. C-92/09 und C-93/09 (Schecke), Rn. 42 ff.; BT-Drs. 17/10452.

7 Vgl. Kierkegaard, Safe Harbor Agreement - Boon or Bane? Washington Journal of Law, Technology & Arts, Vol. 1
2005, online abrufbar unter http://www.law.washington.edu/WJLTA/Issues/1/3/10#1310; U.S. Ambassador to
the EU, William Kennard, Europe’s 3

rd

Annual European Data Protection and Privacy Conference, 4.12.2012,
online abrufbar unter
http://photos.state.gov/libraries/useu/231771/PDFs/Five%20Myths%20Regarding%20Privacy%20and%20Law
%20Enforcement_October%209_2012_pdf.pdf.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 6

USA und der EU sowie die diesbezüglichen, die Grundsätze verbindlich erläuternden „Häufig
gestellten Fragen“ (FAQ)8.

Die Safe Harbor Grundsätze sind:9

  Notice: Datenerhebende Organisationen müssen Betroffene über den Zweck der Erhebung
und die Verwendung der Daten unterrichten;

  Choice: Organisationen müssen Betroffenen die Wahlmöglichkeit einräumen, ob ihre
personenbezogenen Daten an Dritte übermittelt oder für andere Zwecke verwendet werden;

  Onward Transfer: Sollen Daten an einen Dritten übermittelt werden, muss gewährleistet sein,
dass dieser die Regeln des Safe Harbor-Abkommens beachtet;

  Access: Betroffene müssen Zugang zu ihren personenbezogenen Daten haben und die
Möglichkeit, dass inkorrekte Daten korrigiert, ergänzt oder gelöscht werden;

  Security: Organisationen müssen angemessene Vorsichtsmaßnahmen ergreifen, um
personenbezogene Daten vor Verlust, Missbrauch und unautorisiertem Zugang zu schützen;

  Data Integrity: Personenbezogene Daten müssen für den beabsichtigten Zweck erforderlich
sein und

  Enforcement: Die Einhaltung der Safe Harbor Principles muss durch geeignete Institutionen
gewährleistet werden, an die sich Betroffene mit Beschwerden wenden können, sowie durch
Sanktionen, die die Einhaltung der Regeln garantieren. Dazu ist ein "dispute resolution
system" einzurichten. Die US-amerikanische Federal Trade Commission (FTC) kann im Falle
eines Verstoßes gegen die Safe Harbor Principles Sanktionen bis zur Höhe von $ 12 000 pro
Übertretungstag verhängen. Organisationen, die beständig gegen die Regeln verstoßen,
können ausgeschlossen werden.

Bei Einhaltung der Safe Harbor Grundsätze sind die Anforderungen des europäischen
Datenschutzrechts gewahrt, so dass personenbezogene Daten legal in die USA zur dortigen
Weiterverarbeitung transferiert werden können. Um hiervon profitieren zu können, haben USamerikanische
 Unternehmen zwei Möglichkeiten: Nach Registrierung auf der vom DoC
verwalteten „Safe Harbor-Liste“10 können US-Unternehmen entweder einem selbstregulierenden

8 Preamble Safe Harbor Principles issued by the U.S. Department of Commerce on July 21, 2000, online abrufbar
unter http://export.gov/safeharbor/eu/eg_main_018475.asp. Zu den Verhandlungen vgl. Art. 29-Gruppe,
Working document on the current state of play of the ongoing discussions between the European Commission
and the United States Government concerning the “International Safe Harbor Principles”, WP 23,
5075/99/EN/final v. 7.7.1999, online abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1999/wp23en.pdf; Art. 29-Gruppe, Opinion 3/2000,
On the EU/US dialogue concerning the "Safe harbor" arrangement, WP 31, 5019/00/EN/final v. 16.3.2000, online
abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation
/files/2000/wp31_en.pdf; Art. 29-Gruppe, Opinion 7/99, On the Level of Data Protection
provided by the "Safe Harbor" Principles as published together with the Frequently Asked Questions (FAQs)
and other related documents on 15 and 16 November 1999 by the US Department of Commerce, WP 27,
5146/99/EN/final v. 3.12.1999, online abrufbar unter http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommendation/files/1999/wp27_en.pdf.

9 U.S.-EU Safe Harbor Overview, http://export.gov/safeharbor/eu/eg_main_018476.asp sowie
http://export.gov/safeharbor/eu/eg_main_018493.asp.

10 https://safeharbor.export.gov/list.aspx.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 7

Datenschutzprogramm beitreten, das sich auf die Anforderungen der Safe Harbor-Prinzipien
stützt oder sich in einer öffentlichen und selbstbindenden Datenschutzerklärung („Privacy
policy“) gegenüber der FTC verpflichten, die Safe Harbor Grundsätze intern umzusetzen. Die
Safe Harbor-Zertifizierung erfolgt auf freiwilliger Basis (self-certification). Das DoC prüft bei der
Aufnahme auf die Safe Harbor-Liste nicht, ob das den Beitritt beantragende Unternehmen die
Prinzipien einhält. Die Einhaltung der Prinzipien muss das Unternehmen vielmehr selbst
bestätigen und diese Erklärung auch regelmäßig wiederholen, was dann in die Safe Harbor-Liste
eingetragen wird.11

Nachdem das DoC am 21.7.2000 die Grundsätze und FAQ veröffentlicht hatte,12 erließ die
Europäische Kommission am 26.10.2000 auf Grundlage von Art. 25 Abs. 6 RL 95/46/EG die
Entscheidung 2000/520/EG (im Folgenden Adäquanzentscheidung)13. Hierin erkannte die
Kommission an, dass in den USA tätige Organisationen über ein angemessenes
Datenschutzniveau verfügen, wenn sie sich gegenüber der FTC öffentlich und
unmissverständlich zur Einhaltung der Grundsätze und der in den FAQ enthaltenen Hinweise
verpflichten.14

11 Zur Implementierung der Safe Harbor-Vereinbarung vgl. Europäische Kommission, Arbeitsdokument der
Kommissionsdienststellen über die Umsetzung der Entscheidung 520/2000/EG der Kommission vom 26. Juli
2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des
von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ)
gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, SEK(2002) 196 v. 13.02.2002, online
abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/sec-2002-196_de.pdf;
Artikel 29 Datenschutzgruppe, Working Document on Functioning of the Safe Harbor Agreement, WP 62,
11194/02/EN v. 2.7.2002, online abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp62_en.pdf; Dhont/Pérez Asinari/Poullet, Safe
Harbour Decision Implementation Study, 2004, online abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/studies/safe-harbour-2004_en.pdf; vgl. auch das
Positionspapier der US-Regierung v. 16.8.2002, online abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/lawreport/paper/usg_en.pdf.

12 Cover Letter from Acting Under Secretary for International Trade Administration Robert S. LaRussa v.
21.7.2000, online abrufbar unter http://export.gov/safeharbor/eu/eg_main_018494.asp.

13 Entscheidung der Kommission vom 26.7.2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und
des Rates über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" und der diesbezüglichen
"Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl.
Nr. L 215/7, online abrufbar unter http://eurlex
.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:DE:HTML.

14 Zu der Reichweite der Vereinbarung vgl. Art. 29-Gruppe, Opinion 4/2000 (16.5.2000) on the level of protection
provided by the “Safe Harbor Principles”, online abrufbar unter http://ec.europa.eu/justice/dataprotection
/article-29/documentation/opinion-recommendation/files/2000/wp32_en.pdf; Hessischer Landtag,
Vorlage der Landesregierung betreffend den „Einundzwanzigsten Bericht der Landesregierung über die Tätigkeit
der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden“, Landtag-Drs.
17/663, S. 32 ff., online abrufbar unter http://starweb.hessen.de/cache/DRS/17/3/00663.pdf. Zu weiteren
Anerkenntnisententscheidungen wie beispielsweise den „Beschluss 2012/472/EU des Rates v. 26.4.2012 über
den Abschluss des Abkommens zwischen den Vereinigten Staaten von Amerika und der Europäischen Union
über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of
Homeland Security“ (ABl. L 215/4) vgl. die Übersicht unter http://ec.europa.eu/justice/dataprotection
/document/international-transfers/adequacy/index_en.htm sowie EuGH, verb. Rs. C-317/04 und C-
318/04 (Europäisches Parlament/Rat), Rn. 64 ff.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 8

Hierin liegt jedoch keine die EU und/oder die USA völkerrechtlich bindende Vereinbarung, da
schon eine Vertragsschlusskompetenz der Kommission und auch die Voraussetzungen für den
Abschluss eines völkerrechtlichen Vertrages nicht gegeben sind.15 Die Grundlagen der
Anwendung der Safe Harbor Grundsätze beruhen sowohl in den USA als auch in der EU
ausschließlich auf unilateral verpflichtenden Regeln des Binnenrechts und nicht auf einer
bilateral verbindlichen vertraglichen Regelung.16 Dementsprechend beinhaltet die
Adäquanzentscheidung der Kommission nicht die völkervertragliche Anerkennung, dass ein
angemessenes Schutzniveau tatsächlich besteht. Vielmehr statuiert Art. 1 Abs. 1 der
Adäquanzentscheidung lediglich eine widerlegliche Vermutung, dass ein angemessenes
Schutzniveau für personenbezogene Daten durch die teilnehmenden US-Unternehmen
gewährleistet wird. Für die teilnehmenden Unternehmen gilt entsprechend die Vermutung, dass
sie ein adäquates Datenschutzniveau i.S.v. Art. 25 Abs. 2 RL 95/46/EG gewährleisten, so dass
eine Datenübermittlung möglich ist.

3. Diskussion um die Adäquanz des Datenschutzniveaus nach Implementierung der Safe
Harbor Grundsätze

Seit Inkrafttreten der Adäquanzentscheidung haben mitgliedstaatliche und europäische
Datenschutzaufsichtsbehörden wiederholt Bedenken geäußert, dass trotz der Implementierung
der Safe Harbor Grundsätze kein adäquates Datenschutzniveau in den USA bestehe.17 Seit der

15 Vgl. Europäisches Parlament, Bericht über den Entwurf eines Beschlusses der Kommission über die
Angemessenheit der US-Grundsätze des Sicheren Hafens(Safe Harbor Privacy Principles) - Ausschuss für die
Freiheiten und Rechte der Bürger, Justiz und innere Angelegenheiten, PE/2000/A5-0177 v. 22.6.2000, online
abrufbar unter http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A5-2000-
0177+0+DOC+WORD+V0//DE. Zu den hier fehlenden Bedingungen für eine völkervertragliche Bindung vgl.
auch Internationaler Gerichtshof, Urteil v. 1.7.1994 (Qatar/Baharain), ICJ-Rep. 1994, 112 (122 f.), online abrufbar
unter http://www.icj-cij.org/docket/files/87/6995.pdf.

16 Art. 29-Gruppe, Opinion 7/99 On the Level of Data Protection provided by the "Safe Harbor" Principles as
published together with the Frequently Asked Questions (FAQs) and other related documents on 15 and 16
November 1999 by the US Department of Commerce, WP 27, 5146/99/EN/final v. 3.12.1999: „voluntary
approach offered to US organizations on the basis of self-certification“, online abrufbar unter
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation
/files/1999/wp27_en.pdf; Genz, Datenschutz in Europa und den USA, 2004, S. 159 ff.

17 BT-Drs. 17/3375; Art. 29-Gruppe, Working Document on Functioning of the Safe Harbor Agreement, WP 62,
11194/02/EN v. 2.2.2002, online abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp62_en.pdf; Europäische Kommission,
Commission Staff Working Paper, The application of Commission Decision 520/2000/EC of 26 July 2000
pursuant to Directive 95/46 of the European Parliament and of the Council on the adequate protection of
personal data provided by the Safe Harbour Privacy Principles and related Frequently Asked Questions issued
by the US Department of Commerce, SEC(2002) 196 v. 13.02.2002, online abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2002-196/sec-2002-196_en.pdf; Europäische
Kommission, Commission Staff Working Paper, The implementation of Commission Decision 520/2000/EC on
the adequate protection of personal data provided by the Safe Harbour privacy Principles and related
Frequently Asked Questions issued by the US Department of Commerce, SEC (2004) 1323 v. 20.10.2004, online
abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/adequacy/sec-2004-1323_en.pdf; Art. 29-
Gruppe, Opinion 05/2012 on Cloud Computing, WP 196, 01037/12/EN v. 1.7.2012, Ziff. 3.5.1, S. 17, online
abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation
/files/2012/wp196_en.pdf.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 9

Implementierung bestünden erhebliche Vollzugsdefizite hinsichtlich der ursprünglich
intendierten Garantie eines „sicheren Hafens“.18 Die Einhaltung der Safe Harbor Grundsätze auf
US-Seite werde nur unzureichend kontrolliert. Daher träfen die europäischen Übermittler von
Daten an Safe Harbor-zertifizierte US-Unternehmen vor der Übermittlung personenbezogener
Daten trotz der allgemeinen Adäquanzentscheidung der Kommission eigene Erkundigungs- und
Überwachungspflichten hinsichtlich der Einhaltung der Safe Harbor Grundsätze.19

Die US-Regierung vertrat die Auffassung, dass dieses Vorgehen der europäischen
Datenschutzbehörden rechtswidrig sei, da die Mitgliedstaaten nicht zu einer unilateralen
Suspendierung der Safe Harbor-Zertifizierung befugt, sondern an die Adäquanzentscheidung der
Kommission gebunden seien.20 Weiter verwies die US-Regierung darauf, dass die Kommission
bislang keine über die bisherigen Safe Harbor-Regelungen hinausgehenden Anforderungen
gestellt habe.21 Vielmehr habe die Kommission im Einklang mit der US-Regierung die
fortbestehende Anerkennung eines adäquaten Datenschutzniveaus durch die Einhaltung der Safe

18 Vgl. Dhont/Pérez Asinari/Poullet, Safe Harbour Decision Implementation Study, 2004, online abrufbar unter
http://ec.europa.eu/justice/policies/privacy/docs/studies/safe-harbour-2004_en.pdf Connolly, The US Safe
Harbor – Fact or Fiction? 2008, online abrufbar unter
http://www.galexia.com/public/research/assets/safe_harbor_fact_or_fiction_2008/safe_harbor_fact_or_fiction.pd
f; WorldPrivacyForum, The US Department of Commerce and International Privacy Activities: Indifference and
Neglect, 2010, online abrufbar unter
http://www.worldprivacyforum.org/pdf/USDepartmentofCommerceReportfs.pdf; Marnau/Schlehahn, Cloud
Computing und Safe Harbor, in: Datenschutz und Datensicherheit 5/2011, S. 311 ff.

19 Beschluss der der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich v.
28./29.4.2010 in der Fassung v. 23.8.2010, online abrufbar unter
http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_Saf
eHarbor.pdf;jsessionid=E031886D762A04FB2240D9D483DE2288.1_cid344?__blob=publicationFile; Art. 29-
Gruppe, Opinion 05/2012 on Cloud Computing, WP 196, 01037/12/EN v. 1.7.2012, Ziff. 3.5.1, S. 17, online
abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation
/files/2012/wp196_en.pdf.

20 International Trade Administration, “Clarifications Regarding the U. S.-EU Safe Harbor Framework and Cloud
Computing“ v. 12.4.2013, online abrufbar unter
http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Computing%20Clarification_April%2012%2020
13_Latest_eg_main_060351.pdf.

21 International Trade Administration, “Clarifications Regarding the U. S.-EU Safe Harbor Framework and Cloud
Computing“ v. 12.4.2013, online abrufbar unter
http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Computing%20Clarification_April%2012%2020
13_Latest_eg_main_060351.pdf; beispielhaft aus der Perspektive der betroffenen Marktteilnehmer vgl. Yahoo!
Europe, Response to the European Commission consultation on the legal framework for the fundamental right to
protection of personal data, Dezember 2009, online abrufbar unter
http://ec.europa.eu/justice/news/consulting_public/0003/contributions/organisations_not_registered/yahoo_eur
opa_en.pdf.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 10

Harbor Grundsätze betont.22 Schließlich würden auch US-Handlungen beispielsweise auf
Grundlage des U.S. Patriot Acts, die auf den Safe Harbor-Regelungen gründende Angemessenheit
des Schutzniveaus in den USA nicht in Frage stellen.23

4. Möglichkeiten einer Änderung der Adäquanzentscheidung

Vor dem Hintergrund dieser Diskussion stellt sich die Frage, ob es möglich ist, die Entscheidung
über die Anerkennung eines angemessenen Datenschutzniveaus in den USA bei Einhaltung der
Safe Harbor Grundsätze zu suspendieren oder aufzuheben.

4.1. Änderung durch die Mitgliedstaaten

Die Adäquanzentscheidung der Kommission entfaltet bis zu ihrer Aufhebung unmittelbare
Geltung in allen Mitgliedstaaten. Diese müssen alle für ihre Umsetzung erforderlichen
Maßnahmen ergreifen24, d.h. sie müssen im Wesentlichen einen aus datenschutzrechtlicher Sicht
ungehinderten Datenaustausch zwischen Unternehmen in der EU und nach den Safe Harbor
Grundsätzen selbstzertifizierten US-Unternehmen sicherstellen. Eine unilaterale Suspendierung
oder Aufhebung durch einzelne oder die Gesamtheit aller Mitgliedstaaten sieht die
Adäquanzentscheidung nicht vor. Insofern bleiben die Mitgliedstaaten solange verpflichtet, von
einem angemessenen Datenschutzniveau in den USA bei Einhaltung der Safe Harbor Regelungen
auszugehen, wie die Entscheidung der Kommission unverändert fortbesteht.

Dementsprechend können mitgliedstaatliche Behörden im Rahmen ihrer Befugnisse zum Schutz
von Privatpersonen bei der Verarbeitung von personenbezogenen Daten (vgl. Art. 3 Abs. 1
Adäquanzentscheidung) nicht die Aussetzung der Datenübermittlung an ein US-Unternehmen
damit begründet anordnen, dass keine Anerkennung eines adäquaten Datenschutzniveaus gemäß
Art. 25 Abs. 6 RL 95/46/EG vorliege.

22 Vgl. U.S.-EU Joint Statement on Privacy from EU Commission Vice-President Viviane Reding and U.S.
Commerce Secretary John Bryson v. 19.3.2012: “In line with the objectives of increasing trade and regulatory
cooperation outlined by our leaders at the U.S.-EU Summit, the United States and the European Union reaffirm
their respective commitments to the U.S.-EU Safe Harbor Framework.” online abrufbar unter
http://www.commerce.gov/news/press-releases/2012/03/19/us-eu-joint-statement-privacy-eu-commission-vicepresident
-viviane-re; Europäisches Parlament, Interparliamentary meeting v. 10.10.2012 on Data Protection
SESSION VII – Data Protection in the global context (16:17), online abrufbar unter
http://www.europarl.europa.eu/ep-live/en/committees/video?event=20121010-1500-COMMITTEE-
LIBE&category=COMMITTEE&format=wmv.

23 U.S. Ambassador to the EU, William Kennard, Europe’s 3
rd

Annual European Data Protection and Privacy
Conference, 4.12.2012, online abrufbar unter
http://photos.state.gov/libraries/useu/231771/PDFs/Five%20Myths%20Regarding%20Privacy%20and%20Law
%20Enforcement_October%209_2012_pdf.pdf.

24 Art. 5 Adäquanzentscheidung.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 11

4.2. Änderung durch die Kommission

Einer unilateralen Suspendierung oder Aufhebung der Anerkennung der Angemessenheit des
durch die Safe Harbor Grundsätze gewährleisteten Schutzes durch Kommission stehen weder
völkervertragliche noch unionsrechtliche Bindungen entgegen.

Durch Erlass ihrer Adäquanzentscheidung hat die Kommission keine völkervertraglichen
Pflichten begründet.25 Für den Fall einer Suspendierung oder Aufhebung der
Adäquanzentscheidung durch eine weitere Kommissionsentscheidung dürften daher
völkervertragliche Einwendungen der US-Regierung auch mit Blick auf bisherige Äußerungen
seitens der Kommission26 ausgeschlossen sein.

Auch unionsrechtlich steht einer Aufhebung der Adäquanzentscheidung nichts entgegen. Art. 31
RL 95/46/EG überträgt die Entscheidungsbefugnis zur Änderung der Adäquanzentscheidung als
auch zu ihrer Aufhebung, Aussetzung oder Beschränkung auf die Europäische Kommission und
einen aus Vertretern der Mitgliedstaaten bestehenden Ausschuss. Das Entscheidungsverfahren
richtet sich nach Art. 31 RL 95/46/EG in Verbindung mit der EU-Komitologie-Verordnung27. Das
Verfahren beginnt mit der Vorlage des Entwurfs einer Entscheidung der Kommission, zu der der
Ausschuss eine Stellungnahme mit qualifizierter Mehrheit abgibt. Die Stimmen der Vertreter der
Mitgliedstaaten werden nach der für die Abstimmungen des Rates vorgesehenen Weise (Art. 16
Abs. 4 und 5 EUV) gewichtet. Nach Ablauf der Frist erlässt die Kommission die vorgeschlagene
Maßnahme mit den Änderungen, die sie nach der Stellungnahme des Ausschusses akzeptieren
kann. Akzeptiert sie nicht alle in der Stellungnahme enthaltenen Änderungen, setzt sie die
Durchführung der Entscheidung für 3 Monate aus. Innerhalb dieser Frist kann der Rat einen
anderslautenden Beschluss fassen. Dieser ersetzt die Entscheidung der Kommission. Kommt eine
Beschlussfassung des Rates in den dafür vorgesehenen Verfahren und Mehrheiten nicht
innerhalb dieser Frist zustande, so wird die Entscheidung der Kommission wirksam.

Träfe die Kommission eine solche Entscheidung, entfiele auch die mitgliedstaatliche, aus der
Adäquanzentscheidung folgende Pflicht, das US-Datenschutzniveau als adäquat im Sinne von
Art. 25 Abs. 2 RL 95/46/EG anzuerkennen.

Auch die Adäquanzentscheidung selbst sieht eine fortlaufende Prüfung des Schutzniveaus im
Sinne des Art. 25 Abs. 2 RL 95/46/EG und Reaktionsmöglichkeiten vor. So kann die
Adäquanzentscheidung gemäß ihres Art. 4 Abs. 1 jederzeit „im Licht der Erfahrung mit ihrer
Anwendung angepasst werden“. Gelangen die Mitgliedstaaten oder die Kommission zu der
Auffassung, dass eine für die Einhaltung der Safe Harbor Grundsätze und „Häufig gestellten
Fragen“ verantwortliche US-Einrichtungen ihrer Aufgabe nicht wirkungsvoll nachkommt, so
informiert die Kommission das Handelsministerium der USA und schlägt gegebenenfalls

25 Vgl. oben S. 8.

26 Siehe oben Fn. 22.

27 Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates v. 16. 2.2011 zur Festlegung der
allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der
Durchführungsbefugnisse durch die Kommission kontrollieren, ABl. L 55/13.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 12

Maßnahmen zur Aufhebung, Aussetzung oder Beschränkung des Geltungsbereichs der
Adäquanzentscheidung vor (Art. 3 Abs. 3 und 4 Adäquanzentscheidung).

4.3. Zwischenergebnis

Zusammenfassend lässt sich feststellen, dass die Adäquanzentscheidung als Rechtsakt der
Europäischen Union im Rahmen der nach dem Unionsrecht vorgesehen Verfahren geändert
werden kann. Völkerrechtliche Bindungen zwischen den USA und der EU und ihren
Mitgliedstaaten bestehen im Zusammenhang mit den Safe Harbor Grundsätzen nicht. Solange
aber die Kommissionsentscheidung über die Angemessenheit des von den Grundsätzen des
„sicheren Hafens“ gewährleisteten Schutzes rechtswirksam ist, bindet sie die Mitgliedstaaten
und verpflichtete diese, das Datenschutzniveau in den USA dann als adäquat zu betrachten,
wenn ein dortiges Unternehmen an den Safe Harbor Grundsätzen teilnimmt.

5. Rechtsfolgen und Handlungsalternativen

Eine unilaterale Suspendierung oder Aussetzung der Anerkennung eines angemessenen
Datenschutzniveaus bei Einhaltung der Safe Harbor Grundsätze durch die Kommission birgt die
Gefahr von Handelskonflikten zwischen den USA und der EU: Denn ohne die Anerkennung
eines angemessenen Datenschutzniveaus in den USA ist nach Art. 25 RL 95/46/EG die
Übertragung von Daten in die USA unzulässig, sofern nicht eine der Ausnahmen des Art. 26 RL
95/46/EG erfüllt ist. Ein Datenaustausch zwischen den USA und den Mitgliedstaaten der EU
würde dadurch erheblich erschwert und das hätte unweigerlich Auswirkungen auf den Handel
zwischen den beiden Staaten.

Rechtlich folgte aus einer Aufhebung der Adäquanzentscheidung der Kommission, dass – da
eben keine Feststellung eines adäquaten Datenschutzstandards i.S.d. Art. 25, 26 RL 95/94/EG
mehr vorläge – die Mitgliedstaaten selbst prüfen müssten, ob das von den USA gebotene
Schutzniveau angemessen ist. Kommen sie auch zu dem Ergebnis, dass kein angemessenes
Schutzniveau gewährleistet ist, dürfen personenbezogene Daten nur in den Ausnahmefällen, die
in Art. 26 RL 95/46/EG vorgesehen sind, an Unternehmen in den USA übermittelt werden.

Entsprechend ist denkbar, dass ein Mitgliedstaat die Datenübermittlung nach Art. 26 Abs. 2 RL
95/46/EG genehmigt, wenn die betroffenen Marktteilnehmer im Einzelfall eine individuelle
Vereinbarung über den Umgang mit den personenbezogenen Daten getroffen haben, die die
Grundrechte der betroffenen Personen hinreichend garantiert. Das wäre der Fall, wenn die
materiellen Datenschutzgrundsätze (vgl. Art. 26 Abs. 1 lit. a) bis lit. f) RL 95/46/EG) durch
individualvertragliche Vereinbarung im Einzelfall sicher gestellt sind.28

28 Vgl. § 4c Abs. 1 Satz 2 Nr. 1 Bundesdatenschutzgesetz v. 14.1.2003 (BGBl. I S. 66); Helfrich, Einführung und
Grundbegriffe des Datenschutzes, in: Hoeren/Sieber, Multimedia-Recht, 33. Ergänzungslieferung 2012,
Rn. 35 ff.; Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, Gutachten im Auftrag des
Bundesministeriums des Inneren, September 2002, S. 73, online abrufbar unter http://www.sachsenanhalt
.de/fileadmin/Elementbibliothek/Bibliothek_Politik_und_Verwaltung/Bibliothek_LFD/PDF/binary/Servic
e/Sonstige_Infos/gutachten_zur_modernisierung_des_datenschutzes.pdf.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 13

Zur Gewährleistung eines angemessenen Schutzes können die Unternehmen für die
Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern einen Vertrag auf
Basis der von der Kommission im Jahre 2001 veröffentlichten29 und 2010 aktualisierten30 EU-
Standardvertragsklauseln im Sinne von Art. 26 Abs. 2 und 4 RL 95/46/EG schließen. Auf
Grundlage der aktualisierten Standardvertragsklauseln kann die Auftragsdatenverarbeitung
außerhalb der EU im Wege des Outsourcing mit einbezogen werden. Dies ist beispielsweise bei
personenbezogenen Daten der Fall, die in die USA geschickt werden und dann in einem
Drittstaat durch einen Unterauftragsdatenverarbeiter verarbeitet werden. Solche Datentransfers
können durchgeführt werden, wenn der ursprüngliche Datenexporteur schriftlich zustimmt und
der Sub-Prozessor die Datenschutzverpflichtungen übernimmt, die für den ursprünglichen
Daten-Prozessor gelten.31

Alternativ besteht innerhalb eines Konzerns für Datenimporteure die Möglichkeit, verbindliche
unternehmensinterne Vorschriften (Binding Corporate Rules) zu erlassen. Binding Corporate
Rules sind Verhaltenskodizes von multinationalen Gruppen von Unternehmen, die ihre globale
Politik in Bezug auf den internationalen Transfer von persönlichen Daten auf der Grundlage
europäischer Datenschutzstandards definieren. Sie werden von den Unternehmen aufgestellt und
freiwillig befolgt, um angemessene Garantien für die Übermittlung personenbezogener Daten
innerhalb eines Konzerns zu geben. Sie werden nicht ausdrücklich in der RL 95/46/EG genannt,
wurden aber aus praktischen Gründen von den nationalen Datenschutzbehörden mit
Unterstützung der Datenschutzgruppe entwickelt.32

Eine Handlungsalternative auf Seiten der Kommission und der Mitgliedstaaten könnte darin zu
sehen sein, dass die Reform des europäischen Datenschutzrechts zum Anlass genommen wird,
erneut über die Auslegung und Anwendung der Safe Harbor Grundsätze zu verhandeln33 und
etwa eine bessere Kooperation zwischen den europäischen und den US-amerikanischen
Datenschutzbehörden und eine bessere Kontrolle der Einhaltung der Safe Harbor Grundsätze zu

29 Entscheidung 2001/497/EG der Kommission vom 15.06.2001 hinsichtlich Standardvertragsklauseln für die
Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG, ABl. L 181/19, online
abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:181:0019:0031:de:PDF.

30 Beschluss 2010/87/EU der Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung
personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen
Parlaments und des Rates, ABl. L 39/5, online abrufbar unter http://eurlex
.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF.

31 Spindler, in: Spindler/Schuster, Recht der elektronischen Medien, 2. Aufl. 2011, § 4 c BDSG, Rn. 20 ff.

32 Vgl. Grapentin, Datenschutz und Globalisierung - Bindung Corporate Rules als Lösung?, in: Computer und
Recht 2009, S. 693 ff. sowie den Überblick unter http://ec.europa.eu/justice/dataprotection
/document/international-transfers/binding-corporate-rules/index_en.htm.

33 Vgl. hierzu American Chamber of Commerce to the EU’s response to the Commission communication on a
comprehensive approach on data protection in the European Union v. 14.1.2011, S. 35 ff., online abrufbar unter
http://ec.europa.eu/justice/news/consulting_public/0006/contributions /organisations/amcham_en.pdf.



Fachbereich Europa Ausarbeitung
PE 6 - 3000 – 74/13

Seite 14

vereinbaren.34 Das könnte den Weg ebnen, entweder die Adäquanzentscheidung der Kommission
unangetastet zu lassen oder im Falle ihrer Aufhebung eine neue Adäquanzentscheidung zu
treffen, weil das Datenschutzniveau in den USA dann, gemessen an den europäischen
Datenschutzanforderungen, ausreichend wäre.

- Fachbereich Europa -

34 Europäische Kommission, Vorschlag vom 25.1.2012 für eine Verordnung des Europäischen Parlaments und des
Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11 endg., online abrufbar unter http://eurlex
.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF; Europäische Kommission,
Vorschlag v. 25.1.2012 für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der
Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum
freien Datenverkehr, KOM(2012) 10 endgültig, online abrufbar unter http://eurlex
.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:DE:PDF; vgl. auch die Mitteilung der
Kommission vom 25.1.2012, KOM(2012) 9 endg., an das Europäische Parlament, den Rat, den Europäischen
Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer
vernetzten Welt, Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, online abrufbar unter http://eurlex
.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0009:FIN:DE:PDF sowie BT-Drs. 17/3375.