Weiter zum Inhalt

Was bedeutet die Aufhebung des EU-US Privacy Shield für die Schweiz?

geschrieben_von

Lovey Wymann

,

categories

Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) die wichtigste Datenschutzgrundlage im Umgang mit den USA für ungültig. Und sorgte damit auch in der Schweiz für Verunsicherung.

AdobeStock_338294943.jpeg

Der «Privacy Shield» ist ein US-Selbstzertifizierungs-Programm, mit dem US-Unternehmen öffentlich und verbindlich garantieren, sich an den Datenschutz nach europäischem Verständnis zu halten. Auf dieser Grundlage durften Personendaten an Unternehmen in die USA übermittelt werden, obwohl die USA kein aus europäischer Sicht angemessenes Datenschutzrecht haben. Betroffen sind ausschliesslich personenbezogene Daten, also solche, die sich mit einem gewissen Aufwand zu konkreten Personen zurückverfolgen lassen – auch wenn keine Klardaten wie Namen oder E-Mail-Adressen mitgespeichert werden – nicht aber Business- oder Maschinendaten. Das Abkommen wurde vom EuGH für unwirksam erklärt, weil das US-Recht a) nicht die erforderlichen Beschränkungen und Garantien für Eingriffe durch öffentliche Behörden vorsehe und b) keinen wirksamen gerichtlichen Schutz gegen solche Eingriffe gewährleiste.

Nun sind wir ja nicht in der EU und haben zudem einen eigenen Swiss-US Privacy Shield, der von der Aufhebung nicht direkt betroffen ist. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat auf seiner «Länderliste» vom 1. März 2019 ausdrücklich festgehalten, dass er den Privacy Shield, in der nach dem EU-Vorbild mit den USA ausgehandelten Schweizer Variante, als hinreichende Schutzmassnahme für Exporte von Personendaten in die USA hält. Und auch die Standardvertragsklauseln der Europäischen Kommission hielt er bisher für hinreichend. Beides ist mit dem Urteil infrage gestellt. Gemäss Fabienne Schlup, Juristin beim EDÖB, werden das Urteil und die Folgen für die Schweizer Firmen analysiert. Sie rechnet damit, dass der EDÖB Ende August erste Empfehlungen aussprechen kann. 

Was heisst das für Schweizer Unternehmen?

Der EuGH hat mit seinem Urteil die Standardvertragsklauseln nicht pauschal für ungültig erklärt, sondern in Teilbereichen als ungenügend. Je nach Situation müssen damit ergänzende Klauseln oder zusätzliche technische Massnahmen (wie z.B. Verschlüsselung) eingesetzt werden. Das dafür nötige Assessment geht aber nach Meinung von DigitalEurope weit über das hinaus, was einem Unternehmen unter «Due Diligence» zugemutet werden kann. Als Alternative werden die bisherigen Standardvertragsklauseln empfohlen: Diese seien ja gerade deswegen entwickelt worden, WEIL gewisse Länder eben nicht von sich aus einen genügend Datenschutz garantieren und entsprechend nicht als ein Land mit einem angemessenen Datenschutzniveau anerkannt sind. Allerdings zeigt sich hier das ganze Dilemma im Bereich Datenschutz: 

Was nützen Klauseln, wenn sie im Widerspruch zum geltenden Landesrecht stehen? Hier bliebe eigentlich nur die Entscheidung, eine Übertragung von Daten in diese Länder zu vermeiden - was hiesse, auf gewisse Dienste völlig zu verzichten oder bei der Bearbeitung von Personendaten ausschliesslich auf Server innerhalb der EU zu bestehen, was allerdings auch keinen 100-prozentigen Schutz bieten dürfte.

Handlungsempfehlungen:

Falls Unternehmen sich nicht dem Risiko von möglichen Sanktionen aussetzen wollen, sollten sie alternative Tools von europäischen Anbietern evaluieren. Zudem empfiehlt Rolf Auf der Maur, Mitglied des Legal Circle von Swico, Exporte von Personendaten aus der Schweiz (oder sonst Europa) in die USA zu identifizieren, zu dokumentieren und festzustellen, ob diese nur auf dem EU-US Privacy Shield basieren oder ob eine andere Rechtsgrundlage zur Anwendung kommt. Wo lediglich der EU-US Privacy Shield verwendet wird, sollten sie, jedenfalls soweit die DSGVO anwendbar ist, zur Vermeidung eines Bussenrisikos umgehend die Standardvertragsklauseln abschliessen, auch wenn diesbezüglich noch viele Fragen offen sind. Ist nur das schweizerische DSG bzw. der Swiss-US Privacy Shield anwendbar, können sie abwarten, bis der EDÖB seine Empfehlungen abgeben wird.

DigitalEurope verweist zusätzlich auf Instrumente wie «Codes of Conduct» oder Zertifizierungen, um festzulegen, welche verbindlichen und durchsetzbaren Verpflichtungen Organisationen bei der Übertragung von Daten an Nicht-EWR-Ziele einhalten müssen. Swico wird die Entwicklung weiter beobachten und zu gegebener Zeit weiter informieren.

Swico Cookie Policy
Swico nutzt eigene Cookies sowie Cookies von Dritten zu Marketing-, Profilerstellungs- und Analysezwecken sowie zur erleichterten Navigation auf der Website. Bitte lesen Sie hierzu unsere Datenschutzerklärung. Klicken Sie auf SCHLIESSEN, um Cookies zu akzeptieren.