Der
Düsseldorfer Kreis hatte bereits im April 2010 erklärt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürften, und forderte konkrete Mindeststandards, die gewährleistet und auf Nachfrage der Aufsichtsbehörden auch nachgewiesen werden müssten.
[10]
Da im Rahmen des
US Patriot Act US-Sicherheitsbehörden unter Umständen auch ohne Benachrichtigung der Dateninhaber Zugriff auf die in US-
Clouds gespeicherten Daten gewährt werden muss, geriet das Safe-Harbor-Abkommen immer mehr in die Kritik. Nach Ansicht des
Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein sei Safe Harbor „das Papier nicht wert, auf dem es geschrieben steht“.
[11]
Nach den
Enthüllungen Edward Snowdens hatten die deutschen Datenschutzbeauftragten am 24. Juli 2013 die deutsche Bundesregierung und die Europäische Kommission aufgefordert, das Safe-Harbor-System zu überprüfen und bekanntgegeben, dass sie bis auf weiteres keinen Datenexport in die USA unter dem Safe-Harbor-System zulassen.
[12]
Einen Tag darauf, am 25. Juli 2013, wurde bekannt, dass zwei Beschwerden gegen
Apple und
Facebook vor der irischen Datenschutzbehörde nicht bearbeitet wurden. Die irische Datenschutzbehörde stellte fest, dass
PRISM an der Gültigkeit von Safe Harbor nichts geändert habe und für die Frage der Rechtmäßigkeit des Datenexports in die USA weiterhin allein auf die Zugehörigkeit des Empfängerunternehmens zu der Safe-Harbor-Liste abzustellen sei. Des Weiteren stellte die Behörde fest, dass die EU schon im Jahr 2000 eine Datenverwendung wie für das PRISM-Programm „vorausgesehen und geregelt“ hätte.
[13]
Die EU hatte bereits zuvor am 19. Juli 2013 eine Überprüfung von Safe Harbor bis zum Jahresende 2013 angekündigt.
[14] In einer Stellungnahme zur Entscheidung der Datenschutzbehörde in
Irland stellte die EU-Kommission fest: „Im Lichte der Veröffentlichungen rund um PRISM scheint es, dass die Datenschutzerfordernisse durch das ‚Safe Harbor‘-Abkommen nicht den europäischen Standards entsprechen.“
[15]
Die EU-Justizkommissarin
Viviane Reding kündigte am 6. September 2013 eine Reform des EU-Datenschutzes an, in dem Unternehmen „mit Strafen von bis zu zwei Prozent des weltweiten Jahresumsatzes“ rechnen müssen, wenn sie „etwa illegal Daten übermitteln“.
[16] Mit 544 Ja-Stimmen, 78 Gegenstimmen und 60 Enthaltungen stimmten die EU-Abgeordneten des Europaparlamentes im März 2014 für eine Aussetzung des Safe-Harbor-Abkommens.
[17]