Europe's highest court just rejected the 'safe harbor' agreement - what is the impact in Switzerland?

Safe Harbor, Binding Corporat Rules

In der digitalen Welt ist ein Sturm ausgebrochen. Mit dem Entscheid des Europäischen Gerichtshofes (EuGH) zum Thema Safe Harbor kommen Unternehmen, die Daten über den Atlantik exportieren in unsicheres Gewässer.

Was viele nicht wissen oder verdrängen: Die Weitergabe von datenschutzrechtlich relevanten Personendaten an die meisten Länder ausserhalb der EU ist nur eingeschränkt zulässig. Dies gilt insbesondere für Länder, in denen ein angemessenes Datenschutzniveau nicht gewährleistet ist, wie etwa die USA.

Typische Konstellationen von Datenexport sind die weltweite Zentralisierung einer bestimmten Art von Datenverarbeitung (zum Beispiel Lohndaten), Outsourcing von Datenbearbeitungen, Cloud Services, Social Media oder eine Firmenübernahme durch eine US-Firma.

Erleichterter Datentransfer in die USA unter Safe Harbor

Um einen Datentransfer zwischen Europa und Amerika in Übereinstimmung mit der europäischen Datenschutzrichtlinie zu ermöglichen, wurde zur Überbrückung der im Bereich des Datenschutzes bestehenden erheblichen Systemunterschiede im Jahr 2000 zwischen der EU Kommission und den USA das Safe Harbor-Modell entwickelt. Danach können sich Unternehmen aus den USA diesen Vereinbarungen unterwerfen und sich öffentlich verpflichten, die dort aufgestellten Prinzipien einzuhalten und die die dazu gehörenden verbindlichen "häufig gestellten Fragen" zu beachten. Dazu müssen sie sich in eine Liste des US-Handelsministeriums FTC eintragen lassen. Derzeit befinden sich rund 5.500 Unternehmen in diesem Verzeichnis. Verstösst eine der zertifizierten Firmen gegen die Safe Harbor-Vorgaben, so kann die FTC Sanktionen veranlassen wie etwa die Datenverarbeitung stoppen oder Sanktionen verhängen. Dies kam in der Vergangenheit aber eher selten vor, was zu Kritik führte. Diese Kritik verstärkte sich nach der Veröffentlichung der Snowden-Dokumente und gipfelte in der Forderung von Datenschützern, bis auf weiteres keinen Datenexport in die USA unter dem Safe Harbor-System zulassen.

Auch die Schweiz hat ein - in den Grundzügen ähnliches - Safe Harbor-Abkommen mit den USA geschossen ("U.S.-Swiss Safe Harbor Framework").

Ende von Safe Harbor für die EU

Das Safe Harbor-System als Grundlage für den erleichterten Datenexport in die USA ist nach dem Urteil des EuGH vom 6. Oktober 2015 angeknackst, wenn nicht tot.

Zum einen formell: Der Europäische Gerichtshof hielt fest, die EU Kommission sei nicht kompetent, die Befugnisse der nationalen Datenschutzbehörden zu beseitigen oder zu beschränken.

Zum anderen inhaltlich: Der EuGH kam zu dem Ergebnis, die Safe Harbor-Regelung laufe ins Leere, da die US-amerikanischen Unternehmen, die sich ihr unterworfen hätten, jederzeit und ohne Einschränkung verpflichtet seien, die Schutzregeln unangewendet zu lassen und personenbezogene Daten an die US-amerikanischen Sicherheitsbehörden herauszugeben, "ohne dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt." Damit sieht das Gericht den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und des wirksamen gerichtlichen Rechtsschutzes verletzt.

Die EU-Kommission und die US-Regierung sind unter Zugzwang und arbeiten bereits an einer neuen Vereinbarung. Bis zu deren Verabschiedung kann jedoch noch einige Zeit vergehen (zumal die Zuständigkeit der EU-Kommission ja gemäss EuGH-Urteil gerade nicht gegeben ist). Letztlich geht es um die fundamentale Frage, ob die Amerikaner oder die Europäer im Datenschutz den globalen Standard setzen. Ist den Amerikanern die Möglichkeit der Massenüberwachung wichtiger oder die wirtschaftlichen Interessen der Internet-Giganten? Werden die Europäer Standfestigkeit zeigen?

Was bedeutet dies für die Schweiz?

Der Entscheid des EuGH hat formell keine Auswirkungen auf die Schweiz.

Der Eidgenössische Datenschutz- und Öffentlichkeitbeauftragte (EDÖB) wird sich aber entscheiden müssen, ob er angesichts des Eklats zwischen Europa und den USA an den Grundsätzen von Safe Harbor festhalten kann. In der Mitteilung vom 7. Oktober 2015 zeichnet der EDÖB den Weg vor: "Auch das Abkommen zwischen der Schweiz und den USA wird durch diesen Entscheid in Frage gestellt. Bei einer Neuverhandlung wird für die Schweiz nur ein international koordiniertes Vorgehen, unter Einbezug der EU, zielführend sein."

Vorläufig (Stand 8. Oktober 2015) sind die USA auf der Liste der Länder der Kategorie "Angemessener Schutz unter bestimmten Voraussetzungen". Auf diese Liste dürfen sich die Inhaber von Datensammlungen verlassen.

Schweizer Unternehmen und Behörden, die Produkte und Dienstleistungen von US-Unternehmen in Anspruch nehmen, und US-Firmen mit Tochtergesellschaften in der Schweiz müssen sich für den Fall wappnen, dass auch die Schweiz vom heutigen Safe Harbor-Prinzip abrückt.

Wer ist betroffen?

Besonders anspruchsvoll ist die Situation für die grossen US-Cloud-Anbieter, wie Amazon AWS, Oracle Cloud, IBM Softlayer, Google Cloud und Microsoft. Der Datentransfer aus EU/CH in Richtung USA ist nur zulässig, wenn das europäische Schutzniveau eingehalten wird. Dies können die US-Anbieter nicht garantieren, weil ihnen die US-Sicherheitsbehörden im Nacken sitzen (Gesetzeskonflikt).

Aber auch Schweizer Unternehmen, die für ihre Dienstleistungen US-Cloud Dienstleistungen nutzen haben ein Problem. Im Rahmen der Drittdatenverarbeitung (Kette) muss jeder, der Daten einem Dritten zur Bearbeitung weitergibt, dafür sorgen, dass die Datenschutzvorschriften eingehalten werden. Wer also als Unternehmen Personendaten von schweizerischen Kunden bearbeitet (erfasst, speichert, etc.), ist verpflichtet dafür zu sorgen, dass deren Daten datenschutzkonform bearbeitet werden, d.h. keine Personendaten in die USA gelangen, ausser es liegt eine explizite Einwilligung des Kunden vor.

Was für Alternativen gibt es, wenn der Safe Harbor Schutz wegfällt?

Fehlt eine Gesetzgebung im Ausland, die einen angemessenen Schutz gewährleistet, so können Personendaten nur ins Ausland bekannt gegeben werden, wenn eine der Voraussetzungen von Art 6 Abs. 2 DSG erfüllt. Wer also nicht auf die Zusammenarbeit mit zertifizierten US-Unternehmen verzichten will oder kann, für den kommen folgende Alternativen in Frage, um rechtmässig Personendaten über den Atlantik zu übermitteln: Vertragliche Garantien, Einwilligung, die Datenübermittlung im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages, Binding Corporate Rules im Konzern.

1. Vertragliche Garantie durch Standardvertragsklauseln

Als Alternative zu Safe Harbor kann der hinreichende Schutz dadurch erreicht werden, dass sich die US-Datenempfänger vertraglich zu einem angemessenen Datenschutz verpflichten (Art. 8 Abs. 2 lit. a DSG). Der EDÖB akzeptiert folgende Standards: Standardvertragsklauseln der Europäischen Union, Mustervertrag des Europarates und Mustervertrag EDÖB für das Outsourcing von Datenbearbeitungen ins Ausland. Werden diese Klauseln im Rahmen eines Vertrags zwischen Datenexporteur und -importeur unverändert verwendet, so war - mindestens bis anhin - ein darauf basierender Datentransfer auch in die USA erlaubt. Der EDÖB muss aber über den vertraglichen Schutz informiert werden. Die Verletzung der Informationspflicht hat strafrechtliche Konsequenzen (Art. 34 Abs. 2 lit. a DSG).

Standardvertragsklauseln haben in der Praxis den grossen Vorteil, dass sie sich vergleichsweise leicht zwischen zwei Vertragspartnern umsetzen lassen. Der vor allem für US-Unternehmen nur schwer akzeptable Nachteil liegt aber darin, dass sich der Datenimporteur im Ausland dem Recht und der Datenschutzaufsicht des Partnerlandes unterwerfen muss.

Abzuwarten bleibt, ob der EDÖB die Standardverträge mit US-Firmen weiterhin akzeptiert, obwohl US-Unternehmen - entgegen ihren vertraglichen Pflichten - durch die US-Behörden (NSA) zur Herausgabe von Daten gezwungen werden können.

2. Einwilligung der betroffenen Person (Art. 6 Abs. 2 lit. b DSG)

Die vermeintlich einfachste Lösung für eine rechtmässige Datenübermittlung in die USA liegt dann vor, wenn die betroffenen Personen hierzu individuell ihre Einwilligung erklärt haben. Hierzu reicht es allerdings nicht, entsprechende Klauseln irgendwo in Allgemeinen Geschäftsbedingungen zu verstecken. Die Anforderungen an eine wirksame Einwilligung sind: Die Einwilligung muss sich auf einen Einzelfall, d.h. eine konkrete Situation beschränken. Die Einwilligung muss freiwillig sein nach angemessener Information erfolgen. Der User muss also vor der Abfrage seiner Einwilligung über die geplante Verwendung seiner Personendaten informiert werden. Er muss die Einwilligung auch jederzeit widerrufen können. Allein die Formulierung einer solchen wirksamen Nutzerinformation ist alles andere als trivial.

3. Datenübermittlung im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages

Zulässig ist auch, wenn ein Vertragspartner Personendaten des anderen Vertragspartners an einen Dritten im Ausland im Hinblick auf den Abschluss oder den Vollzug eines Vertrags übermitteln (Art. 6 Abs. 2 lit. c DSG). Typische Beispiele sind die Datenbekanntgabe von Kundendaten an ein Hotel im Ausland durch die Reiseagentur oder die Datenbekanntgabe im Rahmen von Banktransaktionen oder Aufträgen im internationalen Zahlungsverkehr.

4. Binding Corporate Rules in multinationalen Konzernen

Vor allem für internationale Konzerne besteht schliesslich die Möglichkeit, verbindliche Konzernregeln zum internen Datenschutz zu schaffen (Art. 6 Abs. 2 lit. g DSG). In deren Rahmen legt sich eine Gruppe von verbundenen Unternehmen rechtsverbindliche Regeln auf, die den internen Umgang mit personenbezogenen Daten auf Basis von CH/EU-Vorgaben definiert. Unterwirft sich ein Unternehmensverbund diesen Regelungen, so kann dadurch das Datenschutzniveau im Konzern weltweit vereinheitlicht und ein angemessenes Datenschutzniveau hergestellt werden. Allerdings hat das für die Betroffenen den Nachteil, dass sich der gesamte Konzern weitgehend dem EU-Datenschutz unterwerfen muss. Schliesslich ist die Zustimmung der Datenschutzbehörden in allen EU-Länder nötig, in denen Konzernunternehmen ihren Sitz haben.

Multinationale Konzerne sollten daher sicherstellen, dass ihre Regeln für die interne Datenbearbeitung inhaltlich den Anforderungen des Europäischen Datenschutzübereinkomments STE 108 und des Zusatzprotokolls erfüllen, die Verbindlichkeit durch entsprechende Verwaltungsratsbeschlüsse abgesichert ist und die Anwendung der Regeln durch Audits sichergestellt sind (z.B. ePrivacy Datenschutzgütesiegel). Nicht vergessen werden dar, dass der EDÖB über die Binding Corporate Rules informiert werden muss. Im Übrigen sind Datensammlungen beim EDÖB anzumelden und zu registrieren, wenn Personendaten regelmässig ins Ausland bekannt gegeben werden (Art. 11a Abs. 3 lit. b DSG).

Fazit

Wer Geschäftspartner in den USA hat, an die er personenbezogene Daten weiterleitet, sollte nach der Entscheidung des EuGH in Sachen Safe Harbor schnell handeln. Denn durch den Wegfall dieser Regelung ist auch die Rechtsgrundlage entfallen, die eine derartige Übermittlung von persönlichen Informationen an zertifizierte Partner zuliess. Wer nicht die Möglichkeit hat, die individuelle Einwilligung jedes betroffenen Kunden oder Mitarbeiters zum Datentransfer einzuholen, sollte zeitnah den Abschluss der Standardverträge mit den amerikanischen Partnern ins Auge fassen. Innerhalb eines Konzerns ist zudem die Verwendung der Binding Corporate Rules möglich. Die veränderten Rechtsgrundlagen zu ignorieren oder auszusitzen, ist über einen längeren Zeitraum wohl keine sinnvolle Alternative.

* Dr. Martin Eckert, 08.10.2015

Your team

Contact

In need of legal, tax or compliance advice? We look forward to contacting you.