Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) mit Urteil entschieden, dass der EU-US Privacy Shield ungültig ist.
Was bedeutet das EuGH-Urteil für Schweizer Unternehmen, was mache ich persönlich und was rate ich Schweizer Unternehmen?
Zum Hintergrund:
Eine kurze Zusammenfassung meinerseits, um was es beim EuGH-Urteil geht, findet man hier.
Die Konsequenzen des EuGH-Urteils: Die USA haben keine Gesetzgebung mit einem adäquaten Datenschutz. Deshalb dürfen Personendaten grundsätzlich nicht ohne speziellen Massnahmen in die USA transferiert werden, es sei denn, das US-Unternehmen ist – resp. in einem gewissen Sinne war – gemäss Privacy Shield zertifiziert. Der EuGH hat nämlich entschieden, dass der EU-US Privacy Shield ungültig ist. Dadurch entfällt die Möglichkeit, dass Personendaten aus der EU in die USA transferiert werden dürfen, ohne dass zusätzliche Massnahmen ergriffen werden müssen. Zu denken sei dabei z.B. an Cloud-Angebote grosser US-Unternehmen.
Die Herausforderungen:
Damit ein Datentransfer von der EU in die USA doch möglich ist, müssen nun spezielle Massnahmen ergriffen werden. In Frage kommen v.a. vertragliche Zusicherungen oder Einwilligungen.
Bezüglich vertraglichen Zusicherungen hat der EuGH in seinem Urteil vom 16. Juli 2020 festgehalten, dass die Standardvertragsklauseln weiterhin gültig sind. Bei den sog. Standardvertragsklauseln handelt es sich um eine vertragliche Basis, welche einen entsprechenden Datenschutz gewährleistet. Nur – die Standardvertragsklauseln alleine genügen nicht. Vielmehr wird verlangt, dass der Verantwortliche prüft, ob keine Rechte des Drittlandes bestehen, die den vertraglichen Datenschutz gefährden können, andernfalls zusätzliche Schutzmassnahmen zu ergreifen sind. Die Rechte des Drittlandes führen im Falle der USA dazu, dass diese den Schutz von betroffenen Personen nicht hinreichend sicherstellen, weshalb neben den Standardvertragsklauseln nochmals zusätzliche Schutzmassnahmen zu ergreifen sind. Wie diese aussehen resp. für ein Unternehmen ohne Weiteres ergriffen werden können, bleibt dabei offen und damit unklar.
Bezüglich Einwilligungen sei darauf hinzuweisen, dass hier die Einwilligung von sämtlichen betroffenen Personen gemeint ist, deren Daten in die USA transferiert werden oder bereits in den USA gespeichert sind. Wenn zusätzlich die strengen Vorschriften an eine rechtsgültige Einwilligung beachtet werden, dürfte klar werden, weshalb ich diese Möglichkeit ebenfalls als Herausforderung sehe. Und ja klar, sämtliche Daten von den Staaten in die EU zu transferieren, ist grundsätzlich auch eine Möglichkeit wie immer wieder mal zu lesen ist. Ob dies für ein Unternehmen ein realistischer Ansatzpunkt ist, scheint mir allerdings mehr als fragwürdig, zumindest kurzfristig.
Was gilt für Schweizer Unternehmen: Das Urteil des EuGH ist für die Schweiz nicht direkt anwendbar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) prüft das Urteil und wird sich zu gegebener Zeit äussern. Bis dahin gelten die bisherigen Regeln, gemäss deren ein Datentransfer von der Schweiz an ein gemäss CH-US Privacy Shield zertifiziertes US-Unternehmen grundsätzlich zulässig ist. Ob ein US-Unternehmen entsprechend zertifiziert ist, kann hier geprüft werden. Das Urteil des EuGH kann für Schweizer Unternehmen dennoch direkte Folgen haben, wenn dieses Schweizer Unternehmen der Datenschutz-Grundverordnung der EU (DSGVO/GDPR) untersteht, z.B. wenn Niederlassungen in der EU bestehen.
Was unternehme ich aktuell persönlich: Ich habe kürzlich selber ein Unternehmen gegründet und warte die Stellungnahme des EDÖB ab. Allerdings – und dies scheint mir ein wesentlicher Punkt zu sein – weiss ich genau, welche Daten wo gespeichert sind und auf welcher Grundlage: Sämtliche Kundendaten sind in der Schweiz gespeichert (von Berufes wegen). Ich nutze auch Angebote von US-Unternehmen, die gemäss CH-US Privacy Shield zertifiziert sind.
Was ich Schweizer Unternehmen empfehle: Bevor Sie hier mit lesen aufhören – weil ich persönlich selber ja auch abwarte – dürfte eine Empfehlung für Sie doch relevant sein: Haben Sie einen genauen Überblick über Ihre Daten? Welche Daten werden wo basierend auf welcher Grundlage gespeichert? Falls Sie diese Fragen nicht spontan mit einem klaren JA und konkreten Angaben beantworten können, empfehle ich Ihnen, sich damit auseinander zu setzen – und zwar schon vor einer Stellungnahme des EDÖB zum CH-US Privacy Shield. Warum? Aktuell wird das Schweizer Datenschutzgesetz revidiert. Spätestens bei dessen Inkrafttreten – man geht aktuell von 2021 aus – werden Sie die Fragen klar beantworten können müssen. Das revidierte Datenschutzgesetz sieht nicht nur verschiedene Pflichten für Verantwortliche vor, eine Verletzung einiger Pflichten werden mit Busse bestraft werden können, so z.B. die unrechtmässige Bekanntgabe von Daten ins Ausland oder die Verletzung der Dokumentationspflicht. Die Auseinandersetzung mit genannten Fragen dürfte für Sie also nicht «verlorene Zeit» sein, vielmehr verschaffen Sie sich etwas mehr Zeit bei der Vorbereitung auf das revidierte Datenschutzgesetz.
Bitte beachten Sie, dass in der Zwischenzeit der EDÖB seine Stellungnahme veröffentlicht hat. Weitere Informationen finden Sie hier.
Photo by Ferdinand Stöhr on Unsplash