EDÖB erachtet Datenschutz in den USA für nicht ausreichend

Das Urteil des europäischen Gerichtshofs zu Schrems II vom 16. Juli 2020 hat zwar keine direkte Auswirkung auf die Schweiz – brachte den EDÖB aber erwartungsgemäss in Zugzwang:

«Nach vertiefter Analyse kommt der EDÖB in seiner Stellungnahme vom 8.9.2020 zum Schluss, dass das Privacy Shield Regime trotz der Gewährung von besonderen Schutzrechten für Betroffene in der Schweiz kein adäquates Schutzniveau für Datenbekanntgaben von der Schweiz an die USA gemäss Bundesgesetz über den Datenschutz (DSG) bietet», heisst es in der Medienmitteilung vom 8. September 2020. Und weiter: « Da die Einschätzung des EDÖB keinen Einfluss auf das Weiterbestehen des Regimes des Privacy Shield hat und sich betroffene Personen darauf berufen können, solange dieses seitens der USA nicht widerrufen wird, werden die Bemerkungen zum Privacy Shield in der Länderliste in angepasster Form beibehalten.»

Also einfach weiter wie bisher und hoffen, dass nichts passiert?

Jein, meinen die Mitglieder des Legal Circles von Swico: Grundsätzlich darf man zwar weiterhin auf Basis von Standardvertragsklauseln Daten in andere Länder übermitteln – auch in die USA. Nur: Privatrechtliche Verträge können Mängel in der Rechtsordnung des Ziellands nicht auffangen: Standardklauseln sind in solchen Staaten nicht durchsetzbar. Konkret heisst das: Unternehmen, welche personenbezogene Daten trotzdem in die USA (oder ein anderes Land ohne angemessenes Datenschutzniveau) exportieren wollen, müssen die damit verbundenen Risiken neu überprüfen und danach entsprechende Massnahmen umsetzen.

Empfohlene rechtliche oder technologische Absicherungen

Entweder sieht sich die ausländische Empfängerpartei in der Lage, die schweizerischen Datenschutzbestimmungen umzusetzen, dann muss dies vertraglich eingefordert werden. Falls nicht, müsste der schweizerische Datenexporteur seine Verantwortung anderweitig wahrnehmen, um Datenzugriff durch Empfängerpartei und Behörden im entsprechenden Land zu verhindern.

BYOK, BYOE oder Encryption as Service

Swico Mitglied Umberto Annino, langjähriger Cyber Security Experte, fasst die Möglichkeiten wie folgt zusammen:

• Bring Your Own Key heist, dass der Kunde einen eigenen Schlüssel hat, die restlichen Services aber durch den Cloud Provider nutzt. Bei Bring Your Own Encryption wird das ganze Verschlüsselungssystem durch den Kunden gestellt. Beide Verfahren lassen dem Kunden relativ viel Kontrolle – bescheren aber, je nach Grösse des Unternehmens, auch Mehraufwand.
• Encryption as Service wird von Hyperscaler bereits heute angeboten, in unterschiedlichen Service Packages. Je nach Skalierung können hier pro Unternehmen mehrere Mitarbeitende tätig sein und den Kunden entlasten. Ob das in Zukunft vermehrt auch kleinere Provider anbieten werden, wird sich weisen.

Grundsätzlich müsse, beim jetzigen Stand der Dinge, jedes Unternehmen abwägen, welche Daten besonderen Schutzes bedürfen – und wie sie diesen sicherstellen sollen. Welchen technologischen Weg ein Unternehmen dabei einschlägt, hängt davon ab, wie gross das Vertrauen in den Anbieter ist bzw. wie viel Kontrolle man im eigenen Unternehmen behalten will oder muss.

Fakt ist, dass der geografische Standort allein keinen Schutz bietet – die Daten müssen technologisch und regulatorisch gesichert werden.