Zukunft der Übertragung von Personendaten von den EU / der Schweiz in die USA (und andere Drittländer)

CH – US Privacy Shield: Kein adäquates Datenschutzniveau

Mit dem wegweisenden Schrems II Urteil hat der EuGH den "US-EU Privacy Shield" gekippt, wogegen ein aussereuropäischer Datentransfer grundsätzlich weiterhin auf die sog. Standartvertragsklauseln gestützt werden kann (wir berichteten: Das Ende des EU-US Privacy Shield).

Allerdings hat der EuGH betont, dass mit den Standardvertragsklauseln nicht jeder Transfer in Drittländer abgesichert werden kann. Vielmehr sollen diese Klauseln nur dann effektiven Schutz bieten, wenn sowohl der Datenexporteur als auch der Empfänger im Drittland gewährleisten, dass deren Bestimmungen auch eingehalten werden können. Können die Standardvertragsklauseln dagegen nicht eingehalten werden, müssen die beteiligten Parteien für andere geeignete Garantien sorgen oder den Datentransfer beenden.

Nach dem Schrems II Entscheid werden die meisten Unternehmen innerhalb des EWR wohl auf die Standardvertragsklauseln zurückgreifen, da diese verhältnismässig schnell neu abgeschlossen werden können. Jedoch lassen sich Zugriffe amerikanischer Sicherheitsbehörden durch den Gebrauch der Standardvertragsklauseln nicht konsequent verhindern, da zwingend durchzusetzendes US-Recht ihnen unter Umständen vorgeht. Mit den Standartvertragsklauseln allein ist ein Unternehmen, das Personendaten in die USA transfereiert, also noch nicht gefeit.

 

Situation in der Schweiz

Wenig überraschend teilte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in seiner öffentlichen Stellungnahme vom 8. September 2020 mit, angesichts des Schrems II-Entscheids den Platz der USA seiner Staatenliste zu aktualisieren.

Diese «Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet (Art. 6 Abs. 1 DSG)» dient als Hilfsmittel für Schweizer Datenexporteure, indem sie eine generelle behördliche Einschätzung über das in den aufgeführten Ländern herrschende Datenschutzniveau widergibt. Zwar waren Datentransfers in die USA bereits bisher nicht ohne Weiteres möglich: Es galt auch in der Schweiz ein «Privacy Shield», wonach US-Unternehmen sich als datenschutzkonforme Vertragspartner zertifizieren lassen und einen angemessen Schutz nach Art. 6 Abs. 1 DSG garantieren konnten.

Mit seiner jüngsten Stellungnahme geht der EDÖB nunmehr – mit ähnlichem Argumentarium wie der EuGH im Schrems II Entscheid – davon aus, dass bei Datentransfers in die USA das gem. Art. 6 Abs. 1 DSG das notwendige adäquate Datenschutzniveau gestützt auf die Privacy Shield Zertifizierung des US-Datenempfängers allein nicht gewährleistet sei. Wie bereits der EuGH weist der EDÖB zu Recht darauf hin, dass vertragliche Garantien eines adäquaten Schutzniveaus, wie die Standardvertragsklauseln oder auch «Binding Corporate Rules», den Zugriff auf Personendaten durch ausländische Behörden insofern nicht zu verhindern vermögen, als das öffentliche Recht des Importstaates vorgeht und den behördlichen Zugriff auf die transferierten Personendaten der Betroffenen erlaubt, ohne dass wirksamer Rechtschutz zur Verfügung stünde. Dies sei sowohl für die Bekanntgabe von Personendaten in die USA als auch in zahlreiche andere «nicht gelistete Staaten» der Fall.

 

Was gilt für schweizerische Unternehmen?

Zu beachten ist, dass dem EDÖB keine Kompetenz zukommt, den CH-US Privacy Shield aufzuheben. Die Einordnung der jeweiligen Länder in verschiedene Datenschutzkategorien stellt denn auch nur eine sogenannte widerlegbare Vermutung dar und entbindet Datenexporteure nicht von ihrer Pflicht, das vermutete Schutzniveau bei Vorliegen von Anhaltspunkten für Datenschutzrisiken im konkreten Fall zu hinterfragen und gegebenenfalls Schutzmassnahmen nach Art. 6 Abs. 2 DSG zu implementieren. Ausschlagend ist hierzulande die noch nicht gefestigte Rechtsprechung der schweizerischen Gerichte.

Mit dem EDÖB empfehlen wir bei künftigen Übermittlungen von Personendaten in die USA oder andere nicht gelistete Staaten, eine sorgfältige Einzelfallprüfung vorzunehmen:

  • Sollte sich die Datenbekanntgabe auf vertragliche Garantien wie die Standardvertragsklauseln stützen, ist eine Risikoabschätzung vorzunehmen. Dabei obliegt es dem Datenexporteur zu prüfen, ob die Klauseln die in dem nicht gelisteten Staat bestehenden datenschutzrechtlichen Risiken abdecken. 
  • Gegebenenfalls sind die Klauseln zu ergänzen. Im Hinterkopf zu behalten ist jedoch, dass solche Ergänzungen im Falle eines Vorrangs des öffentlichen Rechts dieses Staates (wie in den USA der Fall) ebenfalls von beschränkter Wirkung sind.
  • Falls die Daten an ein Unternehmen des nicht gelisteten Staates geliefert werden, das besonderen Zugriffen der dortigen Behörden unterworfen ist, ist zusätzlich zu eruieren, ob die ausländische Empfängerpartei berechtigt und in der Lage ist, die zur Durchsetzung der schweizerischen Datenschutzgrundsätze nötige Mitwirkung zu leisten. Muss dies verneint werden, laufen die in den Klauseln vorgesehenen Mitwirkungspflichten ins Leere.
  • Erscheint eine Datenübermittlung auf Basis der Standardvertragsklauseln aufgrund des Vorstehenden als problematisch, bestehen grundsätzlich zwei zu empfehlende Vorgehensweisen

a) Zusätzlich zu den Klauseln: Implementierung technischer Massnahmen. Ziel ist hierbei, den Zugriff durch Behörden nicht rechtlich, sondern faktisch zu verhindern. Bei der reinen Datenhaltung eines Cloud-Betriebs ist beispielsweise eine Verschlüsselung denkbar, welche nach den Prinzipien BYOK (bring your own key) und BYOE (bring your own encryption) umgesetzt ist, so dass im Zielland keine Klardaten vorliegen und der Dienstleister keine Möglichkeit hat, die Daten selber aufzuschlüsseln.

b) Alternativ oder zusätzlich zu den Klauseln: Einholung einer ausdrücklichen Einwilligung jeder betroffenen Person.

Zu beachten ist, dass strenge Voraussetzungen an eine gültige Einwilligung gelten:

  • Für die Schweiz (Art. 6 Abs. 2 lit. b DSG) ist namentlich nach angemessener Information in den Einzelfall einzuwilligen.
  • Nach EU-Recht (Art. 49 Abs. 1 lit. a DSGVO) ist die betroffene Person (i) auf das Fehlen eines angemessenen Datenschutzniveaus im Empfängerland bzw. geeigneter Garantien hinzuweisen und (ii) über die möglichen Risiken zu informieren, die sich aus der Übermittlung der Personendaten in ein Drittland ohne angemessenes Schutzniveau und geeigneter Garantieren ergeben können.

Wir bleiben am Ball und informieren in jedem Fall über weitere Entwicklungen. Das MME-Datenschutzteam freut sich, innovative Unternehmen weiterhin durch den immer dicker werdenden Dschungel an datenschutzrechtlichen Stolpersteinen zu begleiten.

September 2020 | Autoren: Linus Hug, Philipp Stadler, Michael Kunz

Ihr Team

Ihr Kontakt

Wünschen Sie, dass wir Sie kontaktieren? Bitte füllen Sie das Formular aus und unsere Berater setzen sich gerne persönlich mit Ihnen in Verbindung.