Im Nachgang zum Schrems II Urteil des EuGH hat sich der
Eidgenössische Datenschutzbeauftragte (EDÖB) zum Swiss-US
Privacy Shield und zu Datentransfers in die USA geäussert. Mit
der Stellungnahme und der Anpassung der Staatenliste stellt die
Swiss-US Privacy Shield Zertifizierung in der Regel auch aus
Schweizer Sicht keine ausreichende Garantie für Datentransfers
in die USA mehr dar. Die Staatenliste des EDÖB wird
mittelfristig zwar abgeschafft und der Bundesrat könnte eine
Swiss-US Privacy Shield Zertifizierung unter dem totalrevidierten
DSG als angemessene Garantie für einen Datenexport in die
Vereinigten Staaten anerkennen. Bundesrat und EDÖB
dürften den grenzüberschreitenden Datentransfer aber
weiterhin mit Blick auf die Rechtsentwicklung in der EU regulieren
und mit einem EU-US Privacy Shield 2.0 ist zumindest in naher
Zukunft nicht zu rechnen. Ob der Swiss-US Privacy Shield
weiterbestehen wird, ist daher höchst ungewiss. Die Bedeutung
von vertraglichen Garantien bei Datentransfers in die USA nimmt
damit zu. Da der Einsatz der bisher häufig vereinbarten
Standard Contractual Clauses (SCC) unter dem EU Recht
einer Einzelfallprüfung bedarf, sind Schweizer
Unternehmen auch mit Blick auf das revidierte Datenschutzgesetz und
dessen strafrechtliche Sanktionen gut beraten, die notwendigen
Anpassungen von vertraglichen Garantien wie den SCC, aber auch
Binding Corporate Rules (BCR), schon jetzt einzuleiten. Dies gilt
für Datentransfers in die USA sowie in andere Länder, die
gemäss geltender Einschätzung aus schweizerischer Sicht
kein angemessenes Datenschutzniveau bieten.
Hintergrund: die Regelung des grenzüberschreitenden Datentransfers im DSG
Das geltende Schweizer Datenschutzgesetz bestimmt, dass Personendaten nicht ins Ausland bekannt gegeben werden dürfen, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde. Eine solche schwerwiegende Persönlichkeitsgefährdung droht namentlich, wenn im Exportland eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 Abs. 1 DSG). Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) führt zu diesem Zweck eine öffentlich zugängliche Staatenliste, in der er sich zur Angemessenheit der Gesetzgebung einzelner Länder äussert (Art. 31 Abs. 1 lit. d DSG). Für die Angemessenheit der Gesetzgebung massgebend sind gemäss EDÖB (siehe auch EDÖB, Erläuterungen zur Datenübermittlung ins Ausland):
- Die Gesetze und deren praktische Umsetzung durch die Staaten
sowie deren Beurteilung durch Lehre und Rechtsprechung;
- Datenschutzrechtliche Konventionen, Publikationen,
Stellungnahmen und Beschlüsse in- und ausländischer
Institutionen und Behörden zur Gleichwertigkeit oder
Angemessenheit des von anderen; Staaten gewährleisteten
Datenschutzniveaus
- Ob betroffene Personen bei Nichteinhaltung datenschutzrechtlicher Grundsätze ihre Interessen wahren können, insbesondere ob das Auskunftsrecht gewährleistet wird.
Bisherige Einschätzung USA: Angemessener Datenschutz bei Swiss-US Privacy Shield Zertifizierung
Die Gesetzgebung der Vereinigten Staaten
gewährleistete gemäss bisheriger Einschätzung des
EDÖB grundsätzlich keinen angemessenen
Schutz. Allerdings war in der Staatenliste des EDÖB
bei den USA der Hinweis «angemessener Schutz unter bestimmten
Voraussetzungen» angebracht. Aus den Erläuterungen des
EDÖB zu diesem Hinweis ergab sich, dass Daten an
US-Unternehmen bekanntgegeben werden konnten, wenn diese unter dem
Swiss-US Privacy Shield zertifiziert waren. Das
Swiss-US Privacy Shield entspricht inhaltlich dem Parallelabkommen
EU-US Privacy Shield zwischen der EU und den USA. Beide sehen ein
in Zusammenarbeit mit den Vereinigten Staaten administriertes
Zertifizierungsverfahren vor, bei dem US-Unternehmen sich
verpflichten, Datenschutzgrundsätze einzuhalten, und die USA
geben darin hinsichtlich der exportieren Daten gewisse Garantien
ab. Insbesondere sollen die Vereinigten Staaten garantieren, dass
sie eine indirekte Kontrolle von Zugriffen ihrer Behörden auf
Schweizer Daten über einen Ombudsperson-Mechanismus
ermöglichen (vgl. MLL-News vom 15. Februar
2017 sowie MLL-News vom 27.
September 2017).
Schrems II Urteil des EuGH
Mit dem im Juli gefällten Schrems II Urteil wurde der Beschluss der EU Kommission über die Angemessenheit des EU-US Privacy Shields durch den EuGH für ungültig erklärt. Aus Sicht des EuGH garantieren die Mechanismen des EU-US Privacy Shield kein dem europäischen Recht der Sache nach gleichwertiges Schutzniveau. Der Datentransfer durch der DSGVO unterstehende Verantwortliche an US Unternehmen kann damit nicht mehr auf Grundlage eines Angemessenheitsbeschlusses im Sinne von Art. 45 DSGVO erfolgen (vgl. MLL-News vom 5.10.2020). Das Swiss-US Privacy Shield ist von diesem Beschluss formell zwar unberührt, da der EuGH für dessen Beurteilung nicht zuständig ist, aber angesichts der inhaltlichen Parallelität der vereinbarten Mechanismen konnten die vom EuGH festgestellten Unzulänglichkeiten in der Schweiz nicht ignoriert werden.
Stellungnahme des EDÖB zu Schrems II
Kein angemessenes Datenschutzniveau durch Privacy Shield
Es fragte sich aus Schweizer Sicht, welche Auswirkungen der Schrems II Entscheid auf das Swiss-US Privacy Shield hat. Mit seiner am 8. September 2020 veröffentlichten Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG versucht der EDÖB dem Praxisbedürfnis einer Klarstellung nachzukommen.
Der EDÖB ruft zunächst in Erinnerung, dass die Mechanismen des Privacy Shields in Zusammenarbeit mit den zuständigen EU Behörden jährlich evaluiert werden. Bereits im Evaluationsbericht 2019 hielt der EDÖB fest, dass es für die Betroffenen in der Schweiz an direkt durchsetzbaren Rechtsansprüchen in den Vereinigten Staaten fehlt und die Wirksamkeit des sog. Ombudsperson-Mechanismus, der einen indirekt durchsetzbaren Rechtsbehelf garantieren soll, mangels Transparenz seitens der USA nicht beurteilt werden kann. Weiter hatte der EDÖB damals gerügt, dass die Entscheidkompetenzen der Ombudsperson gegenüber den US-Nachrichtendiensten sowie ihre tatsächliche Unabhängigkeit unbelegt blieben.
Der EDÖB nimmt daher das Schrems II Urteil als Anlass zur Neubeurteilung der Angemessenheit des Datenschutzniveaus in den Vereinigten Staaten und lässt seine Feststellungen des Evaluationsberichts von 2019 einfliessen. Er stuft den Mangel an Transparenz und das daraus abzuleitende Fehlen von Garantien bei Grundrechtseingriffen der US-Behörden als mit der Rechtsweggarantie und den Grundsätzen der rechtmässigen Personendatenbearbeitung nach Art. 4 DSG unvereinbar ein. Daher sieht sich der EDÖB veranlasst, in der Staatenliste den Hinweis zu streichen, dass die USA bzw. US-Unternehmen einen angemessenen Datenschutz unter bestimmten Bedingungen gewährleisten.
Der EDÖB stellt aber klar, dass die formelle Aufhebung des
Privacy-Shields nicht in seine Zuständigkeit fällt.
Entsprechend wird in der Länderliste neu der Vermerk
angebracht, dass der Privacy Shield besondere Schutzrechte
gewährt, diese den Anforderungen an einen angemessenen
Datenschutz im Sinne des DSG jedoch nicht genügen.
Diesbezüglich ist zu bemerken, dass das US-Department of
Commerce die Stellungnahme des EDÖB zur Kenntnis nahm, aber
angekündigt hat, mit der Administrierung des Swiss-US Privacy
Shields fortzufahren. US-Unternehmen können sich auch
weiterhin zertifizieren lassen (vgl. US Department of
Commerce, FAQs - Swiss U.S. Privacy Shield (1-4)).
Alternative: Vertragliche Garantien
Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten in diesen Staat nur unter den Voraussetzungen nach Art. 6 Abs. 2 DSG bekanntgegeben werden. Im grenzüberschreitenden Geschäftsverkehr besonders relevant sind zwischen schweizerischem Datenexporteur und ausländischem Datenimporteur vereinbarte vertragliche Garantien, die einen angemessenen Schutz im Ausland gewährleisten (vgl. Art. 6 Abs. 2 lit. a DSG), sowie verbindliche unternehmensinterne Datenschutzregeln, sog. Binding Corporate Rules (nachfolgend BCR", vgl. Art. 6 Abs. 2 lit. g DSG). Der EDÖB beschied insbesondere den von der EU Kommission publizierten sog. Standardvertragsklauseln (Standard Contractual Clauses, nachfolgend SCC") bis anhin gestützt auf Art. 6 Abs. 3 VDSG die Angemessenheit gemäss Schweizer Datenschutzrecht, was zur Folge hatte, dass ein auf diese Garantie gestützte Datenübermittlung nicht mehr meldepflichtig ist. Die SCC der EU-Kommission werden entsprechend häufig durch Schweizer Unternehmen als Garantie für Datenexporte vereinbart.
Der EuGH hat mit dem Schrems II Urteil aber auch erhöhte Anforderungen an auf SCC gestützte Datentransfers gestellt, da er von Unternehmen hierbei eine einzelfallabhängige Risikoabschätzung verlangt (vgl. MLL-News vom 5.10.2020). Der EDÖB folgt dieser Einschätzung und gibt in seiner Stellungnahme Schweizer Unternehmen praktische Hinweise, was sie beachten müssen, wenn sie SCC für den Datenexport in einen Staat ohne angemessenes Datenschutzniveau vereinbaren:
- Sollte sich die Datenbekanntgabe auf vertragliche Garantien wie
die SCC i.S.v. Art. 6 Abs. 2 lit. a DSG stützen, ist eine
Risikoabschätzung vorzunehmen. Dabei
prüft der Exporteur, ob die Klauseln die in dem nicht
gelisteten Staat bestehenden datenschutzrechtlichen Risiken
abdecken. Gegebenenfalls sind die Klauseln zu ergänzen, wobei
solche Ergänzungen im Falle eines Vorrangs des
öffentlichen Rechts dieses Staates von beschränkter
Wirkung sind, wie nachfolgend ausgeführt wird.
- Bei der Prüfung der datenschutzrechtlichen Risiken ist
insbesondere relevant, ob die Daten an ein Unternehmen des nicht
gelisteten Staates geliefert werden, das besonderen
Zugriffen der dortigen Behörden unterworfen ist.
Weiter ist zu prüfen, ob die ausländische
Empfängerpartei berechtigt und in der Lage ist, die zur
Durchsetzung der schweizerischen Datenschutzgrundsätze
nötige Mitwirkung zu leisten. Muss dies
verneint werden, laufen die in den Standardvertragsklauseln
vorgesehenen Mitwirkungspflichten ins Leere.
- Der schweizerische Datenexporteur muss in solchen Fällen
technische Massnahmen prüfen, die den
Behördenzugriff auf die übermittelten Personendaten im
Zielland faktisch verhindern. Bei der Datenhaltung im Sinne eines
reinen Cloud-Betriebs durch Dienstleister in einem nicht gelisteten
Staat wäre z.B. eine Verschlüsselung denkbar, welche nach
den Prinzipien BYOK (bring your own key) und BYOE (bring your own
encryption) umgesetzt ist, so dass im Zielland keine Klardaten
vorliegen und der Dienstleister keine Möglichkeit hat, die
Daten selber aufzuschlüsseln. Bei über die reine
Datenhaltung hinausgehenden Dienstleistungen im Zielland gestaltet
sich der Einsatz solcher technischen Massnahmen indessen als
anspruchsvoll. Soweit solche Massnahmen nicht
möglich sind, empfiehlt der EDÖB auf die
Übermittlung von Personendaten in den nicht gelisteten Staat
gestützt auf vertragliche Garantien zu
verzichten.
Diese Hinweise bezeichnet der EDÖB auch als relevant
für BCR. Er stellt aber weitere Erläuterungen zu
Datentransfers in die USA und andere nicht gelistete Drittstaaten
in Aussicht. Diese sollen folgen, sobald weitere Erkenntnisse wie
einschlägige Entscheide schweizerischer Gerichte oder die
angekündigte Stellungnahme des Europäischen
Datenschutzausschuss vorliegen.
Einschätzung
Wie weiter mit dem Swiss-US Privacy Shield?
Das Swiss-US Privacy Shield ist wie das EU-US Privacy Shield eine direkte Folge des Schrems I Entscheids des EuGH (vgl. MLL-News vom 28. Oktober 2015 sowie MLL-News vom 15. Februar 2017). Es ist daher konsequent, dass der EDÖB das Schrems II Urteil zum Anlass nimmt, den Swiss-U.S. Privacy Shield neu zu beurteilen, auch wenn die Abkommen formell voneinander unabhängig sind.
Trotz aller Parallelen bestehen doch Unterschiede zur Rechtslage in der EU. Mit dem Schrems II Urteil wurde für Verantwortliche im Anwendungsbereich der DSGVO ein Angemessenheitsbeschluss i.S.v. Art. 45 DSGVO aufgehoben, was zum Wegfall einer Rechtsgrundlage des Datentransfers in die USA führte. Der Swiss-US Privacy Shield war selbst nie eine Rechtsgrundlage gemäss schweizerischem Datenschutzrecht, die Datentransfers in die USA ermöglichen konnte. Mit seinen Hinweisen in der Staatenliste äusserte sich der EDÖB nur zur Eignung der Privacy Shield Zertifizierung als Garantie im Sinne von Art. 6 Abs. 2 lit. a DSG. Die Einschätzung des EDÖB zur Angemessenheit dieser Garantie ist - wie die Staatenliste an sich - auch für schweizerische Gerichte unverbindlich, worauf dieser in der besprochenen Stellungnahme explizit hinweist. Die Rechtsprechung zieht die Staatenliste aber zuweilen als einziges und somit massgebliches Indiz" heran (siehe z.B. BGE 144 I 126 E. 8.3.6). Wer geltend machen will, dass trotz gegenteiliger Einschätzung des EDÖB ein angemessener Datenschutz im Zielland für die bekanntgegebenen Personendaten besteht, muss dies darlegen können. Trotz ihrer rechtlichen Unverbindlichkeit kommt den Feststellungen des EDÖB in der Praxis also eine erhebliche Bedeutung zu.
Attestiert der EDÖB einer ausländischen
Datenschutzgesetzgebung oder einer Garantie die Angemessenheit,
kann sich der gutgläubige Verantwortliche hierauf verlassen.
Da der EDÖB die Swiss-US Privacy Shield-Zertifizierung nicht
mehr als ausreichende Garantie erachtet, sind hierauf
gestützte Datentransfers in die USA nicht mehr
vermutungsweise erlaubt. Da unwahrscheinlich ist, dass
Schweizer Gerichte von der Einschätzung des EDÖB
abweichen, sind einzig auf die Swiss-US Privacy Shield
Zertifizierung gestützten Datentransfers in die USA zu
unterlassen.
Vertragliche Garantien
Entsprechend nimmt die Bedeutung von vertraglichen Garantien wie den SCC zu. Mit Schrems II können SCC in der EU nun nicht mehr standardmässig eingesetzt werden (vgl. MLL-News vom 5.10.2020). Der EuGH und ihm folgend der EDÖB verlangt vom Datenexporteur vielmehr eine Einzelfallprüfung ihrer Eignung. Die Anpassung der Staatenliste des EDÖB erzeugt damit bereits jetzt Handlungsbedarf. Schweizer Unternehmen sollten:
- Evaluieren, ob und welche Personendaten in die USA oder andere
Staaten ohne angemessenes Datenschutzniveau exportiert
werden.
- Klären, welche Garantien hierbei zur Anwendung kommen,
insbesondere ob mit US Datenimporteuren eine Privacy-Shield
Zertifizierung und/oder SCC vereinbart wurden. Sofern Personendaten
in die USA nur gestützt auf das Privacy Shield
übermittelt wurden, muss der US-Datenimporteur kontaktiert und
auf die geänderte Einschätzung des EDÖB hingewiesen
werden. Der Verantwortliche muss verlangen, dass der Datenexport
gestützt auf andere Garantien oder Tatbestände des Art. 6
Abs. 2 DSG erfolgt.
- Gleichzeitig sollte das Risiko eines fortgesetzten Datenexports
wie vom EDÖB beschrieben eingeschätzt werden (siehe
oben).
- Sofern Unternehmen zum Schluss kommen, dass der
Datenempfänger behördlichen Zugriffsrechten unterworfen
ist und die bisherigen Garantien daher ins Leere laufen,
müssen sie technische oder organisatorische Massnahmen
prüfen. Der ausländische Datenempfänger ist
anzufragen, ob eine Verschlüsselung der fraglichen Daten oder
eine Datenbearbeitung in einem Land mit angemessenen
Datenschutzniveau möglich ist.
Sollte Letzteres keine Option sein, wird eine fortgesetzte
Datenbekanntgabe in die USA gestützt auf eine Privacy Shield
Zertifizierung oder SCC ohne Anpassungen das DSG verletzen. Aus der
Stellungnahme des EDÖB, wie derjenigen seiner
europäischen Kollegen, ergibt sich bisher aber nicht, welche
Anpassungen der SCC im Einzelnen vorzunehmen sind (vgl. MLL-News vom
5.10.2020). Mit konkreten Verhandlungen kann zugewartet werden,
bis sich der EDSA zum zukünftigen Inhalt von SCC
geäussert hat, da auch der EDÖB sich an dieser
Stellungnahme orientieren wird. Im Sinne einer second best
Lösung ist aber zu empfehlen, nicht notwendige
Datenübermittlungen in die USA auszusetzen. Werden
SCC hingegen bereits jetzt angepasst, sind dies individuell
vereinbarte Datenschutzklauseln, die dem EDÖB vorgängig
mitgeteilt werden müssen (Art. 6 Abs. 3 DSG).
Ausblick, insbesondere auf das nDSG
Rechtssichere Grundlagen für Datentransfers in die USA könnte ein Nachfolgeabkommen des Privacy Shields schaffen. Die EU Kommission lotet diese Möglichkeit bereits aus, allerdings dürften die Verhandlungen mit den Vereinigten Staaten schwierig werden. Angesichts der hohen Anforderungen, die der EuGH an dieses Abkommen stellt, ist es ungewiss, ob und allenfalls wann ein solches Abkommen zustande kommt (vgl. MLL-News vom 5.10.2020).
Im totalrevidierten Datenschutzgesetz (vgl. dazu z.B. MLL-News vom 25.9.2020) liegt es am Bundesrat festzustellen, ob die Gesetzgebung des betreffenden Staates einen angemessenen Schutz gewährleistet (Art. 16 nDSG). Die geltende Formulierung, wonach auch keine Persönlichkeitsverletzung im Einzelfall drohen dürfe, wird bewusst nicht übernommen, weil dies dem Verantwortlichen eine schwierige Prognose abverlangt. Stattdessen erlässt der Bundesrat - ähnlich wie die EU-Kommission unter der DSGVO - eine Positiv-Liste mit Staaten, die ein angemessenes Datenschutzniveau sicherstellen, in Form einer Verordnung (vgl. Botschaft zum Bundesgesetz über die Totalrevision des DSG).
Hinsichtlich der Prüfung von Garantien für den Datentransfer in Länder ohne angemessenen Datenschutz bleibt der EDÖB dafür zuständig, Standarddatenschutzklauseln anzuerkennen (Art. 16 Abs. 2 lit. d nDSG). Allerdings kann zukünftig der Bundesrat gesetzlich nicht vorgesehene Mechanismen, wie z.B. die Selbstzertifizierung unter dem Privacy Shield, als geeignete Garantien anerkennen (Art. 16 Abs. 3 nDSG). Der Bundesrat und die Vereinigten Staaten hätten es daher unter dem nDSG in der Hand, den bestehenden Swiss-US Privacy Shield als rechtssichere Rechtsgrundlage des grenzüberschreitenden Datentransfers auszugestalten. Es scheint aber wahrscheinlich, dass sich auch der Bundesrat an der Rechtsentwicklung in der EU orientieren wird. Der alleinige Fortbestand des Swiss-US Privacy Shields ist daher fraglich.
Insgesamt dürften die unter dem nDSG vorgesehenen Mechanismen aber für mehr Rechtssicherheit beim grenzüberschreitenden Datenverkehr sorgen, insbesondere weil die Feststellungen zum angemessenen Datenschutzniveau rechtsverbindlich erfolgen. Es ist aber nicht damit zu rechnen, dass der Bundesrat den USA ein angemessenes Datenschutzniveau attestiert. Wird in der EU beim Einsatz von SCC für Datenexporte in Länder ohne angemessenen Datenschutz zudem eine Einzelfallprüfung verlangt, dürfte der EDÖB eine solche auch in der Schweiz verlangen. In diesem Zusammenhang ist daran zu erinnern, dass unter dem revidierten DSG private Personen für eine Verletzung der Sorgfaltspflichten im Zusammenhang mit der Bekanntgabe von Personendaten ins Ausland mit bis zu CHF 250'000.- gebüsst werden können (Art. 61 lit. a nDSG; vgl. dazu MLL-News vom 15. Juni 2020). Schweizer Unternehmen sind daher auch mit Blick auf das revidierte Datenschutzgesetz gut beraten, die notwendigen Anpassungen von vertraglichen Garantien wie den SCC aber auch BCR schon jetzt einzuleiten.
Weitere Informationen:
- BGE 144 I 126
- Botschaft zum Bundesgesetz über die Totalrevision des DSG vom 17. September 2017
- Bundesgesetz über den Datenschutz vom 19. Juni 1992
- Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) vom 25. September 2020 (Text der Schlussabstimmung im Parlament)
- EDÖB: Erläuterungen zur Datenübermittlung ins Ausland
- EDÖB: Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet
- EDÖB: Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG
- MLL-News vom 5. Oktober 2020: EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln - Schrems II"
- MLL-News vom 15. Februar 2017: «Neues Swiss-US Privacy Shield»
- MLL-News vom 15. Juni 2020: «DSG-Revision FAQ Teil 1»
- MLL-News vom 27. September 2017: «EDÖB-Leitfaden zum Swiss-US Privacy Shield»
- MLL-News vom 28. Oktober 2015: «UPDATE: Safe Harbor ist auch in der Schweiz nicht mehr ausreichend - zusätzliche Massnahmen notwendig»
- Schweizerisches Datenschutzgesetz vom 19. Juni 1992
- Urteil des EuGH vom 16. Juli 2020 (C-311/18)
- US Department of Commerce, FAQs - Swiss U.S. Privacy Shield (1-4)
- Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.