Der EuGH hat das EU-US Privacy Shield-Abkommen Mitte August für nichtig erklärt. In der Folge war absehbar, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte auf das Urteil wird reagieren müssen, indem er das Swiss-US Privacy Shield Regime neu bewertet. Am 08.09.2020 erfolgte nun die Stellungnahme – mit wenig überraschendem Ergebnis.*
Ähnlich dem EU-US Privacy Shield haben auch die Schweizer Nachbarn mit dem Swiss-US Regime Privacy Shield eine Grundlage erschaffen, um Personendaten mit ausreichendem Schutzniveau im Sinne des Art. 6 Abs. 1 DSG in die USA zu übermitteln.
Gemäß Art. 7 VDSG führt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine öffentlich zugängliche Liste von Staaten über die Angemessenheit des von diesen Ländern gewährleisteten Datenschutzes i.S. von Art. 6 DSG. Die Liste dient als Hilfsmittel für Schweizer Datenexporteure, das eine generelle behördliche Einschätzung über das in den aufgeführten Ländern herrschende Datenschutzniveau i.S. einer widerlegbaren Vermutung wiedergibt.
Das Datenschutzniveau der Länder wird anhand von drei Kategorien eingeordnet. Entweder besteht ein angemessener Schutz für natürliche Personen, ein angemessener Schutz besteht unter bestimmten Voraussetzungen oder es besteht ein ungenügender Schutz. Die USA konnten aus Sicht des EDÖB noch nie ein angemesses Datenschutzniveau erreichen, es waren immer bestimmte Voraussetzungen notwendig. In der Spalte «Bemerkungen» wird unter Verweis auf das Regime «Privacy Shield» für die USA partiell ein angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG angenommen.
Die Funktionsweise des Regimes Privacy Shield unterlag seit der Einführung einer jährlichen Evaluation, wobei sich der EDÖB zuletzt vorbehielt, die Liste anzupassen, wenn es Erkenntnisse aus der schweizerischen Gerichtsbarkeit oder der EU nahe legen. Das am 16.07.2020 vom EuGH ergangene Schrems II-Urteil führte nun dazu, dass die Listenplatzierung der USA neu beurteilt werden musste.
Grundsätzlich gilt, dass das erwähnte Urteil des EuGH für die Schweiz rechtlich nicht verbindlich ist, da sie nicht Mitglied der EU ist. Nach Art. 3 DSGVO werden das Datenschutzrecht der EU und die darauf gestützte Rechtsprechung des EuGH jedoch von den Behörden und Gerichten der EU / des EWR auch gegenüber Schweizer Unternehmen angewendet, wenn Letztere in der dort genannten Weise Daten bearbeiten. Schweizer Unternehmen müssen deshalb davon ausgehen, dass diese ausländischen Behörden gegebenenfalls verlangen, dass sie sich beim Export von Personendaten unter Androhung von Bußen an die Vorgaben des EU-Rechts halten.
Angesichts dieser Ausgangslage sah sich der EDÖB veranlasst, die aktuelle Listenplatzierung der USA nicht nur neu zu beurteilen.
Aufgrund der fehlenden Gewährleistung von Rechten, die betroffenen Personen in der EU, aber auch in der Schweiz einen vergleichbaren Schutz in den USA garantieren würden, gelangte der EDÖB zur Einschätzung, dass die USA die Anforderungen eines angemessenen Datenschutzes i.S.v. Art. 6 Abs. 1 DSG auch für Personendatenbearbeitungen durch US-Unternehmen, die unter dem Regime Privacy Shield zertifiziert sind, verfehlen. Aufgrund dieser auf das schweizerische Recht gestützten Einschätzung gelangte der EDÖB zum Ergebnis, den «Verweis auf einen angemessenen Datenschutz unter bestimmten Bedingungen» für die USA in der Staatenliste zu streichen.
Vertragliche Garantien wie die auch in der Schweiz oft verwendeten Standardvertragsklauseln sind dagegen weiterhin wirksam und können als Grundlagen für eine Datenübermittlung in die USA herangezogen werden. Sie können den behördlichen Zugriff auf die Personendaten jedoch nicht verhindern, wenn das Recht des Importstaates vorgeht. Das ist in den USA der Fall. Die Standardvertragsklauseln werden daher selbst nach inhaltlicher Anpassung kaum die Anforderungen an vertragliche Garantien gewährleisten können und damit keine adäquate Grundlage darstellen, um das aberkannte Datenschutzniveau wiederherzustellen.
*Der Beiträg enthält in weiten Teilen wörtliche Auszüge aus der Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau des EDÖB. Die ganze Stellungnahme können Sie nachlesen, wenn Sie diesem Link folgen. Die Staatenliste finden sie unter diesem Link. Unseren Blogbeitrag über das EuGH-Urteil „Schrems II“ finden Sie hier.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]