Der EDÖB kommt gestützt auf das wegleitende Schrems II-Urteil zum Schluss, dass der Privacy Shield CH-USA kein adäquates Datenschutzniveau bietet. Was sind nun die Herausforderungen für Unternehmen, die Personendaten in die USA transferieren? Lesen Sie mehr in unserem Beitrag.
Mit dem wegweisenden Schrems II Urteil hat der EuGH den "US-EU Privacy Shield" gekippt, wogegen ein aussereuropäischer Datentransfer grundsätzlich weiterhin auf die sog. Standartvertragsklauseln gestützt werden kann (wir berichteten: Das Ende des EU-US Privacy Shield).
Allerdings hat der EuGH betont, dass mit den Standardvertragsklauseln nicht jeder Transfer in Drittländer abgesichert werden kann. Vielmehr sollen diese Klauseln nur dann effektiven Schutz bieten, wenn sowohl der Datenexporteur als auch der Empfänger im Drittland gewährleisten, dass deren Bestimmungen auch eingehalten werden können. Können die Standardvertragsklauseln dagegen nicht eingehalten werden, müssen die beteiligten Parteien für andere geeignete Garantien sorgen oder den Datentransfer beenden.
Nach dem Schrems II Entscheid werden die meisten Unternehmen innerhalb des EWR wohl auf die Standardvertragsklauseln zurückgreifen, da diese verhältnismässig schnell neu abgeschlossen werden können. Jedoch lassen sich Zugriffe amerikanischer Sicherheitsbehörden durch den Gebrauch der Standardvertragsklauseln nicht konsequent verhindern, da zwingend durchzusetzendes US-Recht ihnen unter Umständen vorgeht. Mit den Standartvertragsklauseln allein ist ein Unternehmen, das Personendaten in die USA transfereiert, also noch nicht gefeit.
Wenig überraschend teilte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in seiner öffentlichen Stellungnahme vom 8. September 2020 mit, angesichts des Schrems II-Entscheids den Platz der USA seiner Staatenliste zu aktualisieren.
Diese «Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet (Art. 6 Abs. 1 DSG)» dient als Hilfsmittel für Schweizer Datenexporteure, indem sie eine generelle behördliche Einschätzung über das in den aufgeführten Ländern herrschende Datenschutzniveau widergibt. Zwar waren Datentransfers in die USA bereits bisher nicht ohne Weiteres möglich: Es galt auch in der Schweiz ein «Privacy Shield», wonach US-Unternehmen sich als datenschutzkonforme Vertragspartner zertifizieren lassen und einen angemessen Schutz nach Art. 6 Abs. 1 DSG garantieren konnten.
Mit seiner jüngsten Stellungnahme geht der EDÖB nunmehr – mit ähnlichem Argumentarium wie der EuGH im Schrems II Entscheid – davon aus, dass bei Datentransfers in die USA das gem. Art. 6 Abs. 1 DSG das notwendige adäquate Datenschutzniveau gestützt auf die Privacy Shield Zertifizierung des US-Datenempfängers allein nicht gewährleistet sei. Wie bereits der EuGH weist der EDÖB zu Recht darauf hin, dass vertragliche Garantien eines adäquaten Schutzniveaus, wie die Standardvertragsklauseln oder auch «Binding Corporate Rules», den Zugriff auf Personendaten durch ausländische Behörden insofern nicht zu verhindern vermögen, als das öffentliche Recht des Importstaates vorgeht und den behördlichen Zugriff auf die transferierten Personendaten der Betroffenen erlaubt, ohne dass wirksamer Rechtschutz zur Verfügung stünde. Dies sei sowohl für die Bekanntgabe von Personendaten in die USA als auch in zahlreiche andere «nicht gelistete Staaten» der Fall.
Zu beachten ist, dass dem EDÖB keine Kompetenz zukommt, den CH-US Privacy Shield aufzuheben. Die Einordnung der jeweiligen Länder in verschiedene Datenschutzkategorien stellt denn auch nur eine sogenannte widerlegbare Vermutung dar und entbindet Datenexporteure nicht von ihrer Pflicht, das vermutete Schutzniveau bei Vorliegen von Anhaltspunkten für Datenschutzrisiken im konkreten Fall zu hinterfragen und gegebenenfalls Schutzmassnahmen nach Art. 6 Abs. 2 DSG zu implementieren. Ausschlagend ist hierzulande die noch nicht gefestigte Rechtsprechung der schweizerischen Gerichte.
Mit dem EDÖB empfehlen wir bei künftigen Übermittlungen von Personendaten in die USA oder andere nicht gelistete Staaten, eine sorgfältige Einzelfallprüfung vorzunehmen:
a) Zusätzlich zu den Klauseln: Implementierung technischer Massnahmen. Ziel ist hierbei, den Zugriff durch Behörden nicht rechtlich, sondern faktisch zu verhindern. Bei der reinen Datenhaltung eines Cloud-Betriebs ist beispielsweise eine Verschlüsselung denkbar, welche nach den Prinzipien BYOK (bring your own key) und BYOE (bring your own encryption) umgesetzt ist, so dass im Zielland keine Klardaten vorliegen und der Dienstleister keine Möglichkeit hat, die Daten selber aufzuschlüsseln.
b) Alternativ oder zusätzlich zu den Klauseln: Einholung einer ausdrücklichen Einwilligung jeder betroffenen Person.
Zu beachten ist, dass strenge Voraussetzungen an eine gültige Einwilligung gelten:
Wir bleiben am Ball und informieren in jedem Fall über weitere Entwicklungen. Das MME-Datenschutzteam freut sich, innovative Unternehmen weiterhin durch den immer dicker werdenden Dschungel an datenschutzrechtlichen Stolpersteinen zu begleiten.