Schrems II

Was bedeutet die Auf­hebung des EU-US Privacy Shield für die Schweiz?

Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) die wichtigste Datenschutzgrundlage im Umgang mit den USA für ungültig und sorgte damit auch in der Schweiz für Verunsicherung.

Artikel erschienen in Swiss IT Reseller 2020/09

     

Der Privacy Shield ist ein US-Selbstzertifizierungs-Programm, mit dem US-Unternehmen öffentlich und verbindlich garantieren, sich an den Datenschutz nach europäischem Verständnis zu halten. Auf dieser Grundlage durften Personendaten an Unternehmen in die USA übermittelt werden, obwohl die USA kein aus europäischer Sicht angemessenes Datenschutzrecht haben. Betroffen sind ausschliesslich personenbezogene Daten, also solche, die sich mit einem gewissen Aufwand zu konkreten Personen zurückverfolgen lassen – auch wenn keine Klardaten wie Namen oder E-Mailadressen mitgespeichert werden –, nicht aber Business- oder Maschinendaten. Das Abkommen wurde vom Europäischen Gerichtshof (EuGH) für unwirksam erklärt, weil das US-Recht erstens nicht die erforderlichen Beschränkungen und Garantien für Eingriffe durch öffentliche Behörden vorsehe und zweitens keinen wirksamen gerichtlichen Schutz gegen solche Eingriffe gewährleiste.


Nun ist die Schweiz ja nicht in der EU und hat zudem einen eigenen Swiss-US Privacy Shield, der von der Aufhebung nicht direkt betroffen ist. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat auf seiner Länderliste vom 1. März 2019 ausdrücklich festgehalten, dass er den Privacy Shield, in der nach dem EU-Vorbild mit den USA ausgehandelten Schweizer Variante, als hinreichende Schutzmassnahme für Exporte von Personendaten in die USA betrachtet. Und auch die Standardvertragsklauseln der Europäischen Kommission hielt er bisher für hinreichend. Beides ist mit dem sogenannten Schrems-II-Urteil in Frage gestellt. Gemäss Fabienne Schlup, Juristin beim EDÖB, werden das Urteil und die Folgen für die Schweizer Firmen analysiert.

Was heisst das für Schweizer Unternehmen?

Der EuGH hat mit seinem Urteil die Standardvertragsklauseln nicht pauschal für ungültig erklärt, sondern in Teilbereichen als ungenügend. Je nach Situation müssen damit ergänzende Klauseln oder zusätzliche technische Massnahmen (wie z.B. Verschlüsselung) eingesetzt werden. Das dafür nötige Assessment geht aber nach Meinung von Digitaleurope weit über das hinaus, was einem Unternehmen unter Due Diligence zugemutet werden kann. Als Alternative werden die bisherigen Standardvertragsklauseln empfohlen: Diese seien ja gerade deswegen entwickelt worden, weil gewisse Länder eben nicht von sich aus einen genügenden Datenschutz garantieren und entsprechend nicht als ein Land mit einem angemessenen Datenschutzniveau anerkannt sind. Allerdings zeigt sich hier das ganze Dilemma im Bereich Datenschutz: Was nützen Klauseln, wenn sie im Widerspruch zum geltenden Landesrecht stehen? Hier bliebe eigentlich nur die Entscheidung, eine Übertragung von Daten in diese Länder zu vermeiden – was hiesse, auf gewisse Dienste völlig zu verzichten oder bei der Bearbeitung von Personendaten ausschliesslich auf Server innerhalb der EU zu bestehen, was allerdings auch keinen 100-prozentigen Schutz bieten dürfte.

Handlungsempfehlungen

Falls Unternehmen sich nicht dem Risiko von möglichen Sanktionen aussetzen wollen, sollten sie alternative Tools von europäischen Anbietern evaluieren. Zudem empfiehlt Rolf Auf der Maur, Mitglied des Legal Circle von Swico, Exporte von Personendaten aus der Schweiz (oder sonst Europa) in die USA zu identifizieren, zu dokumentieren und festzustellen, ob diese nur auf dem EU-US Privacy Shield basieren oder ob eine andere Rechtsgrundlage zur Anwendung kommt. Wo lediglich der EU-US Privacy Shield verwendet wird, sollten sie, jedenfalls soweit die ­DSGVO anwendbar ist, zur Vermeidung eines Bussenrisikos umgehend die Standardvertragsklauseln abschliessen, auch wenn diesbezüglich noch viele Fragen offen sind. Ist nur das schweizerische Datenschutzgesetz (DSG) beziehungsweise der Swiss-US Privacy Shield anwendbar, können sie abwarten, bis der EDÖB seine Empfehlungen abgeben wird.


Digitaleurope verweist zusätzlich auf Instrumente wie Codes of Conduct oder Zertifizierungen, um festzulegen, welche verbindlichen und durchsetzbaren Verpflichtungen Organisationen bei der Übertragung von Daten an Nicht-EWR-Ziele einhalten müssen. Swico wird die Entwicklung weiter beobachten und zu gegebener Zeit weiter informieren.

EU-Datenschutz-­Äquivalenz Schweiz


In Zusammenhang mit Schrems II hat die EU auch die Entscheidung zur Anerkennung der Äquivalenz des Schweizer Datenschutzgesetzes zurückgestellt. Eine Behandlung wird in der Herbstsession erwartet.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER