Swiss-US-Privacy Shield – Keine Panik, aber ...

Sep 11, 2020 von Monika Stucki
Privacy shield

Die Einhaltung des Schweizer Datenschutzgesetzes stellt für viele Unternehmen eine Herausforderung dar. Oftmals, weil das Fachwissen oder das Verständnis für pragmatische, rechtlich vertretbare Massnahmen fehlt. Taten sich die Unternehmen bisher schon schwer genug, begann mit dem Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 eine neue Phase der Verunsicherung. Konkret erklärte der EuGH das sogenannte EU-US-Privacy Shield, welches seit 2016 eine Grundlage für die Datenübermittlung in die USA zum Schutz der Rechte von EU-Bürgern schaffte, für ungültig.

Der Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat sich in einer Stellungnahme vom 8. September 2020 diesem Urteil angeschlossen und auch das Swiss-US-Privacy Shield, welches die Rechte von Personen aus der Schweiz schützen sollte, als nicht ausreichend eingestuft.

Die Fragen die sich jetzt viele Unternehmen stellen: Was heisst das für uns? Was müssen wir tun?

Datenbekanntgabe ins Ausland – Das verlangt die Gesetzgebung

Gemäss Art. 6 Abs. 1 des Bundesgesetz über den Datenschutz (DSG) ist die Bekanntgabe von Personendaten ins Ausland erlaubt, wenn im Empfängerland per Gesetz ein angemessenes Datenschutzniveau gewährleistet ist. Kann nicht sichergestellt werden, dass die Rechte der betroffenen Personen hinsichtlich ihrer Daten angemessen geschützt sind, müssen gemäss Art. 6 Abs. 2 DSG bestimmte zusätzliche Voraussetzungen erfüllt werden.

Welche Staaten im Hinblick auf die Datenbearbeitung ein angemessenes Schutzniveau gewährleisten, hat der EDÖB in einer Staatenliste festgehalten. Dabei unterscheidet er zwischen Staaten, welche aufgrund ihrer Gesetzgebung oder unter Einhaltung bestimmter Voraussetzungen einen angemessenen Schutz gewährleisten und Staaten, in welchen das Datenschutzniveau jenem der Schweiz nicht ebenbürtig ist.

Die USA verfügen über keine Gesetzgebung, welche einen angemessenen Schutz für betroffene Personen gewährleisten. Bis zum 07. September 2020 wurde für Datenübermittlungen an die USA jedoch das Swiss-US-Privacy Shield berücksichtigt, welches betroffenen Personen in der Schweiz besondere Schutzrechte gewähren sollte. Unternehmen in den USA, welche sich unter dem Privacy Shield zertifizieren liessen, verpflichteten sich dadurch unter anderem zur Einhaltung strenger Datenschutzanforderungen bei der Bearbeitung personenbezogener Daten von EU- bzw. Schweizer Bürgern.

Privacy Shield – Darum bietet es keinen Schutz mehr

Mit seiner Stellungnahme am 08. September 2020 kommunizierte der EDÖB, dass die Zertifizierung unter dem Swiss-US-Privacy Shield nicht mehr als ausreichend für die Gewährleistung eines angemessenen Datenschutzes anerkannt wird. Zugleich wurden die USA in der Staatenliste in die Spalte «Ungenügender Schutz» verschoben.

Grund für den Entscheid des EDÖB war unter anderem die Kritik des Europäischen Datenschutzausschusses (EDSA) an den Zugriffsmöglichkeiten der US-Behörden auf Personendaten von Nicht-US-Bürgern. So mangle es beispielsweise an «durchsetzbaren Rechtsansprüchen in den USA» für betroffene Personen in der Schweiz. Zwar besteht ein sogenannter Ombudsperson-Mechanismus, welcher «einen indirekt durchsetzbaren Rechtsbehelf garantieren soll». Aufgrund mangelnder Transparenz könne aber weder die Wirksamkeit dieses Mechanismus noch die Entscheidungskompetenz und Unabhängigkeit der Ombudsperson beurteilt werden. Das bedeutet, dass nicht sichergestellt werden kann, dass Schweizer Bürgerinnen und Bürger ihre Rechte auf Privatsphäre und informationelle Selbstbestimmung gegenüber Behörden in den USA durchsetzen können.

Der Entscheid des EDÖB, dass das Swiss-US-Privacy Shield nicht mehr ausreicht, wirkt sich insbesondere auf Unternehmen aus, die Personendaten nach Art. 3 DSG bearbeiten und diese an Unternehmen in den USA übermitteln. Aber nicht für alle Unternehmen ist immer direkt klar, ob und wann dies tatsächlich der Fall ist. Wir haben für Sie ein paar Empfehlungen zusammengestellt, wie Sie sich dem Thema Datenschutz mit Blick auf die jüngsten Entwicklungen annehmen und wie sie dabei vorgehen können.

Unsere Empfehlungen – Das können Sie tun

  1. Ruhig bleiben
    Inwiefern sich der Entscheid des EDÖB auf ein Unternehmen auswirkt oder welche Konsequenzen dies hat, kann nicht pauschal gesagt werden. Dafür braucht es Abklärungen. Gehen Sie das Thema schnellstmöglich, aber ruhig an. Überstürzte und panische Entscheide bieten nicht unbedingt Qualität.

  2. Datenbekanntgaben ins Ausland ermitteln
    Sollten Sie das nicht bereits getan haben, ist jetzt ein guter Zeitpunkt für die Überprüfung Ihrer Datenflüsse.
    Klären Sie ab, wer ihre Datenempfänger sind, wo diese ihren Rechtssitz haben und ob die Gesetzgebung, welcher sie unterliegen, ein angemessenes Schutzniveau bietet. Bei der Beurteilung des Datenschutzniveaus hilft Ihnen die aktualisierte Staatenliste des EDÖB. Prüfen Sie am besten auch gleich, ob der Zweck der Datenbearbeitung die Übermittlung der Daten ins Ausland im Sinne der Verhältnismässigkeit (Art. 4 Abs. 2 DSG) zwingend erforderlich macht.

  3. Rechtmässigkeit der Datenübermittlung beurteilen
    Prüfen Sie, wie Ihr Unternehmen das Schweizer Datenschutzgesetz bei der Übermittlung von Personendaten ins Ausland berücksichtigt und die Einhaltung der Vorgaben sicherstellt bzw. sicherstellen kann. Folgende Fragen können Ihnen dabei helfen:

    • Werden Daten ins Ausland übermittelt, die gemäss Art. 2 DSG dem Datenschutzgesetz unterliegen?
    • Sind die Daten für den Empfänger einsehbar oder besteht die Möglichkeit, dass der Empfänger Zugriff auf die Daten erlangt?
    • Besteht im Land des Empfängers eine rechtliche Grundlage, mit welcher der Schutz der Rechte für betroffene Personen gewährleistet werden kann? (Siehe dazu auch Empfehlung Nr. 2)
    • Kann der angemessene Schutz durch einen vorliegenden Vertrag oder eine andere Form der Garantie sichergestellt werden?
    • Hat sich mein Unternehmen allenfalls persönlich von der Gewährleistung des Datenschutzes überzeugt, zum Beispiel in Form von Audits?
    • Wurden die betroffenen Personen über die Übermittlung der Daten ins Ausland als Form der Datenbearbeitung informiert und haben sie in diese eingewilligt?

  4. Risiken ermitteln und beurteilen
    Ermitteln Sie die Risiken, die sich für Ihr Unternehmen aus den neusten Entwicklungen ergeben und legen Sie fest, welches Risiko Ihr Unternehmen eingehen kann und möchte. Best Practice Ansätze für Risikomanagement im Bereich der Informationssicherheit und des Datenschutzes bietet beispielsweise der Standard ISO/IEC 27005.

  5. Technische und organisatorische Massnahmen prüfen
    Prüfen Sie, mit welchen technischen und organisatorischen Massnahmen Sie die ermittelten Risiken auf das akzeptierte Niveau reduzieren könnten. In Bezug auf die Datenübermittlung ins Ausland bieten sich beispielsweise Lösungen wie die Verschlüsselung von Daten an.

  6. Wenn alles nichts hilft
    Sehen Sie keine Möglichkeit für Massnahmen, mit welchen die ermittelten Risiken sinnvoll reduziert werden können, verzichten Sie auf die Übermittlung von Personendaten in Staaten, die kein angemessenes Datenschutzniveau gewährleisten. Anbieter in Europa kennen die Herausforderungen der Unternehmen und sind bestrebt, Ihnen alternative Lösungen in der Schweiz oder im EU/EWR-Raum anzubieten.

Sie fühlen sich unsicher und wissen nicht, ob Sie die Anforderungen des Datenschutzes erfüllen?

Wir begleiten Sie gerne bei der Antwortfindung auf Ihre Fragen.

Weiterführende Informationen zu diesem Thema


< zurück