LAUX LAWYERS AG Policy Alert: Swiss–US Privacy Shield gemäss EDÖB keine geeignete Basis mehr für die Übermittlung von Personendaten in die USA
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kommt in einer am 8. September 2020 publizierten Stellungnahme zum Schluss, dass das Swiss-US Privacy Shield keine geeignete Basis für die Übermittlung von Personendaten in die USA mehr ist. Unternehmen müssen solche Datenübermittlungen daher künftig auf eine andere geeignete Garantie im Sinne von Art. 6 Abs. 2 DSG (neu Art. 13 E-DSG) stützen. In diesem LAUX LAWYERS AG Policy Alert finden Sie unsere Beurteilung der Stellungnahme sowie unsere Handlungsempfehlungen.
Die Stellungnahme des EDÖB erfolgt im Rahmen seiner jährlichen Überprüfung des Swiss–US Privacy Shield-Programms und insbesondere vor dem Hintergrund der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) zum grenzüberschreitenden Datentransfer (Schrems II, Urteil vom 16. Juli 2020, worin der EuGH das EU–US Privacy Shield-Programm für ungültig erklärt; vgl. dazu unsere Kolumne auf Inside IT).
USA neu nicht mehr unter den Staaten mit partiell angemessenem Datenschutzniveau
Gleichzeitig aktualisierte der EDÖB gestern seine Liste der Staaten, die seiner Einschätzung nach ein Datenschutzniveau gewährleisten, deren Gesetzgebung ein angemessenes Datenschutzniveau gewährleistet (Staatenliste). Die Staatenliste unterscheidet zwischen Staaten mit angemessenem Schutzniveau, Staaten, die unter Vorbehalt weiterer Voraussetzungen ein angemessenes Schutzniveau bieten und Staaten ohne angemessenes Schutzniveau. Die USA führte der EDÖB bisher unter «angemessener Schutz unter bestimmten Voraussetzungen» auf. Schweizer Unternehmen durften – in Bezug auf US-Unternehmen, die Swiss–US Privacy Shield zertifiziert sind – vermutungsweise davon ausgehen, dass eine Übermittlung von Personendaten an solche US-Unternehmen die Persönlichkeit der betroffenen Personen nicht verletzt und somit im Sinne von Art. 6 Abs. 1 DSG rechtmässig erfolgt. Diese Vermutung fällt nun weg. Denn die USA erscheint auf der Staatenliste neu unter den Staaten ohne angemessenes Datenschutzniveau.
Übertragung ins Ausland unter revidiertem DSG
Zu beachten: Künftig (Art. 13 Abs. 1 E-DSG) wird (formell) der Bundesrat (wohl auf Empfehlung des EDÖB) entscheiden, welche Staaten mit ihrer Gesetzgebung ein dem Schutzniveau des (E-)DSG gleichwertiges Datenschutzniveau gewähren. Dies wird die Rechtsicherheit für Schweizer Unternehmen insofern erhöhen, als bezüglich Staaten mit einem positiven Entscheid des Bundesrats nicht mehr nur die Vermutung der Angemessenheit besteht, sondern Datenübermittlungen an Unternehmen in solchen Staaten wie an Unternehmen innerhalb der Schweiz, mithin ohne weitergehende Prüfung, erfolgen können. Bei Übermittlungen in alle anderen Staaten müssen sich Schweizer Unternehmen weiterhin durch die Implementierung anderer Garantien (z.B. Standardvertragsklauseln) absichern (Art. 13 Abs. 2 E-DSG).
Standardvertragsklauseln als alternative Basis für Datenübermittlungen
Wie schon der EuGH im Urteil Schrems II, äussert sich auch der EDÖB generell zur Anwendung von sogenannten Standardvertragsklauseln als mögliche Basis für Datenübermittlungen in die USA und andere Staaten ohne angemessenes Datenschutzniveau. Er hält fest, dass vertragliche Garantien generell nicht geeignet sind einen nach dem öffentlichen Recht des Importstaates vorgesehenen Zugriff auf Personendaten durch ausländische Behörden zu verhindern.
Wenn gleichzeitig in diesem Importstaat keine hinreichende Transparenz und kein Rechtsschutz für Betroffene bestünde oder aus anderen Gründen davon auszugehen sei, dass sich das importierende Unternehmen nicht an die vertraglichen Vereinbarungen wird halten können, seien vertragliche Garantien ungeeignet, um einen Datentransfer in ein solches Land zu legitimieren. In solchen Fällen sind daher gemäss EDÖB auch Standardvertragsklauseln keine geeignete Basis für eine Datenübermittlung in einen Staat ohne angemessenes Datenschutzniveau.
Einzelfallanalyse und zusätzliche Garantien notwendig
Entsprechend muss gemäss EDÖB pauschal davon ausgegangen werden, dass die Standardvertragsklauseln und vergleichbare vertragliche Absicherungen «die Anforderungen an vertragliche Garantien nach Art. 6 Abs. 2 lit. a DSG für eine Datenübermittlung in nicht gelistete Staaten in vielen Fällen nicht erfüllen.»
In dieser abstrakt und pauschal vorgetragenen Form birgt dies einiges an Sprengkraft und zeitigt weitreichende Auswirkungen auf Schweizer Unternehmen, die Personendaten transferieren möchten:
- Das exportierende Unternehmen hat im Rahmen einer stets geforderten Einzelfallprüfung mit besonderer Sorgfalt zu prüfen, ob in einem Staat datenschutzrechtliche Risiken bestehen und ob diesen mit Standardvertragsklauseln oder zusätzlichen individuell auszuhandelnden Klauseln begegnet werden kann (was regelmässig scheitert, wo sich die datenschutzrechtlichen Risiken im öffentlichen Recht des betreffenden Staates manifestieren).
- Bei dieser Prüfung ist vom exportierenden Unternehmen insbesondere zu analysieren
- ob die Daten an ein Unternehmen übermittelt werden, das besonderen Zugriffen der dor-tigen Behörden unterworfen ist. In den USA seien dies insbesondere sog. Electronic Service Providers, die (so der EDÖB) unter «US-Massenüberwachungsgesetze» fallen; und
- ob das importierende Unternehmen im Empfängerstaat berechtigt und in der Lage ist, die zur Durchsetzung der schweizerischen Datenschutzgrundsätze nötige Mitwirkung zu leisten
Aufgrund der praktischen Tragweite der Aussage wonach die Gefahr von Behördenzugriffen nicht durch vertragliche Garantien wie die Standardvertragsklauseln gebannt werden kann, hätte man sich eine etwas differenziertere – materialrechtliche – Analyse z.B. der relevanten Massenüberwachungsgesetze und der damit verbundenen Gefahr für die Persönlichkeitsrechte betroffener Personen erhofft. Denn die Konsequenz der pauschalen und abstrakten Feststellungen des EDÖB ist mit anderen Worten:
Dem Personendaten exportierenden Schweizer Unternehmen obliegt eine umfassende Pflicht zur Analyse des Risikos von Behördenzugriffen im Importstaat sowie die Pflicht, die Einhaltung der Standardvertragsklauseln durch das importierende Unternehmen im Einzelfall vorgängig und laufend prüfen. Dies erfordert eine Analyse der vom Rechtssystem des Importstaats gewährten Datenschutzniveaus. Ohne Unterstützung lokaler Spezialisten kann eine solche Prüfung kaum je seriös vorgenommen werden. Schweizer Unternehmen müssen daher letztlich bei ihren Risikobeurteilungen auf Wahrscheinlichkeitsprüfungen zurückgreifen.
Was ist nun zu tun?
Trotz dieser doch auf den ersten Blick einschneidenden Stellungnahme des EDÖB zum Swiss–US Privacy Shield-Programm und zum Einsatz von vertraglichen Garantien (wie insb. Standardvertragsklauseln) raten wir Schweizer Unternehmen zu einem überlegten und nüchternen Vorgehen:
- Ein erster, wichtiger Schritt wird sicherlich sein, sich einen Überblick darüber zu verschaffen, ob im Rahmen der laufenden Datenbearbeitungen Übermittlungen von Personendaten an Un-ternehmen in Staaten stattfinden, die gemäss Staatenliste des EDÖB kein genügendes Schutzniveau bieten. Als Faustregel gilt: Dies sind sämtliche Länder ausserhalb der EU und des EWR mit Ausnahme von Argentinien, Kanada, Neuseeland, Uruguay, dem Vereinigten Königreich und Israel.
- Ebenfalls zu prüfen ist, ob und in welchen Fällen das Schweizer Unternehmen Datenübermitt-lungen an Unternehmen in die USA bislang einzig auf das Swiss–US Privacy Shield-Programm gestützt hat. In diesen Fällen ist eine vertiefte Analyse resp. eine Kontaktnahme mit dem Datenimporteur zu empfehlen, um die Möglichkeit alternativer Garantien zu prüfen.
- Verwendet das Schweizer Unternehmen für eine Datenübertragung Standardvertragsklauseln als Garantien, ist in gewissen Fällen eine vertiefte Auseinandersetzung mit den möglichen Ri-siken für betroffene Personen im Einzelfall angezeigt. Dabei lohnt es sich, besonnen vorzuge-hen. Das Gespräch mit dem Datenimporteur wie auch der Beizug erfahrener Spezialisten, kann in diesen Situationen viel dazu beitragen, Klarheit zu schaffen und überstürzte Entschei-de mit allenfalls weitreichenden finanziellen Folgen zu vermeiden.
Die Advisors von LAUX LAWYERS AG verfügen über langjährige, praxisrelevante Erfahrung im Bereich der internationalen Datenübermittlung, namentlich im Zusammenhang mit der Nutzung von Cloud-Lösungen und Online-Plattformen. Sie stehen Ihnen gerne zur Seite, um die für Ihr Unternehmen wichtigen und richtigen Weichenstellungen zu planen und deren Umsetzung zu begleiten.