Der EuGH hat das EU-US Pri­va­cy Shield-Abkommen Mit­te August für nich­tig erklärt. In der Fol­ge war abseh­bar, dass der Eid­ge­nös­si­sche Datenschutz- und Öffent­lich­keits­be­auf­trag­te auf das Urteil wird reagie­ren müs­sen, indem er das Swiss-US Pri­va­cy Shield Regime neu bewer­tet. Am 08.09.2020 erfolg­te nun die Stel­lung­nah­me – mit wenig über­ra­schen­dem Ergebnis.*

Ähn­lich dem EU-US Pri­va­cy Shield haben auch die Schwei­zer Nach­barn mit dem Swiss-US Regime Pri­va­cy Shield eine Grund­la­ge erschaf­fen, um Per­so­nen­da­ten mit aus­rei­chen­dem Schutz­ni­veau im Sin­ne des Art. 6 Abs. 1 DSG in die USA zu übermitteln.

Gemäß Art. 7 VDSG führt der Eid­ge­nös­si­sche Datenschutz- und Öffent­lich­keits­be­auf­trag­te (EDÖB) eine öffent­lich zugäng­li­che Lis­te von Staa­ten über die Ange­mes­sen­heit des von die­sen Län­dern gewähr­leis­te­ten Daten­schut­zes i.S. von Art. 6 DSG. Die Lis­te dient als Hilfs­mit­tel für Schwei­zer Daten­ex­por­teu­re, das eine gene­rel­le behörd­li­che Ein­schät­zung über das in den auf­ge­führ­ten Län­dern herr­schen­de Daten­schutz­ni­veau i.S. einer wider­leg­ba­ren Ver­mu­tung wiedergibt.

Das Daten­schutz­ni­veau der Län­der wird anhand von drei Kate­go­rien ein­ge­ord­net. Ent­we­der besteht ein ange­mes­se­ner Schutz für natür­li­che Per­so­nen, ein ange­mes­se­ner Schutz besteht unter bestimm­ten Vor­aus­set­zun­gen oder es besteht ein unge­nü­gen­der Schutz. Die USA konn­ten aus Sicht des EDÖB noch nie ein ange­mes­ses Daten­schutz­ni­veau errei­chen, es waren immer bestimm­te Vor­aus­set­zun­gen not­wen­dig. In der Spal­te «Bemer­kun­gen» wird unter Ver­weis auf das Regime «Pri­va­cy Shield» für die USA par­ti­ell ein ange­mes­se­nes Daten­schutz­ni­veau i.S.v. Art. 6 Abs. 1 DSG angenommen.

Die Funk­ti­ons­wei­se des Regimes Pri­va­cy Shield unter­lag seit der Ein­füh­rung einer jähr­li­chen Eva­lua­ti­on, wobei sich der EDÖB zuletzt vor­be­hielt, die Lis­te anzu­pas­sen, wenn es Erkennt­nis­se aus der schwei­ze­ri­schen Gerichts­bar­keit oder der EU nahe legen. Das am 16.07.2020 vom EuGH ergan­ge­ne Schrems II-Urteil führ­te nun dazu, dass die Lis­ten­plat­zie­rung der USA neu beur­teilt wer­den musste.

Grund­sätz­lich gilt, dass das erwähn­te Urteil des EuGH für die Schweiz recht­lich nicht ver­bind­lich ist, da sie nicht Mit­glied der EU ist. Nach Art. 3 DSGVO wer­den das Daten­schutz­recht der EU und die dar­auf gestütz­te Recht­spre­chung des EuGH jedoch von den Behör­den und Gerich­ten der EU / des EWR auch gegen­über Schwei­zer Unter­neh­men ange­wen­det, wenn Letz­te­re in der dort genann­ten Wei­se Daten bear­bei­ten. Schwei­zer Unter­neh­men müs­sen des­halb davon aus­ge­hen, dass die­se aus­län­di­schen Behör­den gege­be­nen­falls ver­lan­gen, dass sie sich beim Export von Per­so­nen­da­ten unter Andro­hung von Bußen an die Vor­ga­ben des EU-Rechts halten.

Ange­sichts die­ser Aus­gangs­la­ge sah sich der EDÖB ver­an­lasst, die aktu­el­le Lis­ten­plat­zie­rung der USA nicht nur neu zu beurteilen.

Auf­grund der feh­len­den Gewähr­leis­tung von Rech­ten, die betrof­fe­nen Per­so­nen in der EU, aber auch in der Schweiz einen ver­gleich­ba­ren Schutz in den USA garan­tie­ren wür­den, gelang­te der EDÖB zur Ein­schät­zung, dass die USA die Anfor­de­run­gen eines ange­mes­se­nen Daten­schut­zes i.S.v. Art. 6 Abs. 1 DSG auch für Per­so­nen­da­ten­be­ar­bei­tun­gen durch US-Unternehmen, die unter dem Regime Pri­va­cy Shield  zer­ti­fi­ziert sind, ver­feh­len. Auf­grund die­ser auf das schwei­ze­ri­sche Recht gestütz­ten Ein­schät­zung gelang­te der EDÖB zum Ergeb­nis, den «Ver­weis auf einen ange­mes­se­nen Daten­schutz unter bestimm­ten Bedin­gun­gen» für die USA in der Staa­ten­lis­te zu streichen.

Ver­trag­li­che Garan­tien wie die auch in der Schweiz oft ver­wen­de­ten Stan­dard­ver­trags­klau­seln sind dage­gen wei­ter­hin wirk­sam und kön­nen als Grund­la­gen für eine Daten­über­mitt­lung in die USA her­an­ge­zo­gen wer­den. Sie kön­nen den behörd­li­chen Zugriff auf die Per­so­nen­da­ten jedoch nicht ver­hin­dern, wenn das Recht des Import­staa­tes vor­geht. Das ist in den USA der Fall. Die Stan­dard­ver­trags­klau­seln wer­den daher selbst nach inhalt­li­cher Anpas­sung kaum die Anfor­de­run­gen an ver­trag­li­che Garan­tien gewähr­leis­ten kön­nen und damit kei­ne adäqua­te Grund­la­ge dar­stel­len, um das aberkann­te Daten­schutz­ni­veau wiederherzustellen.

*Der Bei­träg ent­hält in wei­ten Tei­len wört­li­che Aus­zü­ge aus der Stel­lung­nah­me zur Über­mitt­lung von Per­so­nen­da­ten in die USA und wei­te­re Staa­ten ohne ange­mes­se­nes Daten­schutz­ni­veau des EDÖB. Die gan­ze Stel­lung­nah­me kön­nen Sie nach­le­sen, wenn Sie die­sem Link fol­gen. Die Staa­ten­lis­te fin­den sie unter die­sem Link. Unse­ren Blog­bei­trag über das EuGH-Urteil „Schrems IIfin­den Sie hier.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz