Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) mit Urteil entschieden, dass der EU-US Privacy Shield ungültig ist. Das Urteil des EuGH ist für die Schweiz nicht direkt anwendbar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in der Zwischenzeit Stellung zum Swiss-US Privacy Shield genommen.
Was bedeutet die Stellungnahme des EDÖB für Schweizer Unternehmen?
Zum Hintergrund:
Eine kurze Zusammenfassung meinerseits, um was es beim EuGH-Urteil und dem Privacy Shield geht, findet Sie hier.
Die Stellungnahme des EDÖB: Der EDÖB hat am 8. September 2020 zur Übermittlung von Personendaten in die USA und weiteren Staaten ohne angemessenes Datenschutzniveau Stellung genommen. Der EDÖB hält fest, dass US-Datenbearbeiter, die dem Swiss-US Privacy Shield beigetreten sind, betroffenen Personen in der Schweiz zwar besondere Schutzrechte einräumen, dass die Anforderungen für einen angemessenen Datenschutz im Sinne des Schweizerischen Datenschutzgesetzes (DSG) hingegen nicht (mehr) gegeben sind. Als Konsequenz hat der EDÖB die Staatenliste angepasst, welche das Datenschutzniveau für alle Länder festhält. Die USA gilt als Land mit ungenügendem Datenschutz.
Bezüglich Standardvertragsklauseln hält der EDÖB – ebenfalls dem EuGH-Urteil entsprechend – fest, dass diese weiterhin gültig sind, dass allerdings immer eine Risikoabschätzung vorzunehmen ist, ob im Einzelfall die Standardvertragsklauseln hinreichende Garantien zum Schutz eines Zugriffs von ausländischen Behörden gewährleisten.
Warum ist die Stellungnahme des EDÖB für Schweizer Unternehmen wichtig: Gemäss DSG dürfen Personendaten nicht ins Ausland bekannt gegeben werden, wenn kein angemessener Datenschutz gewährleistet ist. Ein angemessener Datenschutz liegt vor, wenn die Gesetzgebung des Empfängerlandes einen angemessenen Datenschutz vorsieht. Fehlt eine Gesetzgebung, die einen angemessenen Datenschutz gewährleistet, dürfen Personendaten nur unter bestimmten Voraussetzungen ins Ausland bekannt gegeben werden, u.a. wenn durch einen Vertrag einen hinreichenden Datenschutz sichergestellt wird (z.B. durch die sog. Standardvertragsklauseln) oder die betroffenen Personen einer Datenbekanntgabe eingewilligt haben.
Konkret bedeutet die Stellungnahme des EDÖB für einen Datentransfer in die USA:
einen Transfer von Personendaten von der Schweiz in die USA braucht immer spezielle Massnahmen, da die USA keine Gesetzgebung hat, die einen angemessenen Datenschutz gewährleistet;
der Swiss-US Privacy Shield bietet keinen genügenden Schutz für den Transfer von Personendaten aus der Schweiz in die USA;
der Abschluss der Standardvertragsklauseln alleine bietet keinen genügenden Datenschutz im Falle eines Datentransfers in die USA; es braucht zusätzliche Massnahmen.
Meine Einschätzung und was ich Schweizer Unternehmen empfehle: Was bereits seit dem 16. Juli 2020 in der EU der Fall ist, ist nun – nicht unerwartet – auch in der Schweiz eingetreten: eine unbefriedigende Situation. Weshalb? Der Datentransfer in die USA ist für die Schweizer Wirtschaft zentral; kaum ein Unternehmen transferiert keine Daten in die USA. Die Hürde ist um einiges erhöht worden (um nicht zu sagen, in gewissen Situationen fast unmöglich), dass ein Datentransfer rechtlich korrekt abgewickelt werden kann.
Der EDÖB hält zwar fest, dass seine Stellungnahme unter dem Vorbehalt einer allfällig abweichenden Rechtsprechung durch ein Schweizer Gericht steht. Dass in absehbarer Zeit ein Schweizer Gericht ein inhaltlich differenziertes Urteil fällt, ist meines Erachtens wenig wahrscheinlich. Abwarten rate ich Ihnen in keinem Fall – auch nicht, wenn die Situation unbefriedigend ist, die Herausforderung gross ist, sich rechtlich korrekt zu verhalten und die Thematik bereits auf politischer Ebene aufgenommen wurde. Vielmehr empfehle ich Ihnen:
Eine Bestandesaufnahme sämtlicher Transfers von Personendaten ins Ausland inkl. deren Grundlage.
Bei Datentransfers von Personendaten in ein Land mit ungenügendem Datenschutz:
Alternativen prüfen dahingehend, dass Daten nicht in ein Land mit ungenügendem Datenschutz transferiert werden müssen.
Abschluss von vertraglichen Garantien, z.B. der Standardvertragsklauseln, wobei zu prüfen ist, ob zusätzliche Massnahmen notwendig sind, was für die USA der Fall ist.
Einwilligung der betroffenen Personen einholen (falls realistisch).
Daten verschlüsseln oder anonymisieren (wenn möglich).
Protokollieren Sie, was Sie tun.
Last but not least: sollten Sie Unterstützung wünschen, melden Sie sich gerne bei mir.
Photo by Dimitry Anikin on Unsplash