In a nutshell:
- Der Gerichtshof der Europäischen Union hat mit Entscheid vom 16. Juli 2020 das EU-US Privacy Shield für ungültig erklärt. Dadurch sind zahlreiche Übermittlungen von Personendaten von Unternehmen in der EU in die USA nicht mehr datenschutzkonform.
- Die Schweiz hat ein eigenes Abkommen, das Swiss-US Privacy Shield, das im Wesentlichen deckungsgleich mit jenem der EU ist. Im Gegensatz zur EU ist das Swiss-US Privacy Shield derzeit formell noch gültig und in Kraft. Es ist aber davon auszugehen, dass auch das Swiss-US Privacy Shield als Folge des Urteils des EuGH bald aufgehoben oder für ungültig erklärt wird.
- Schweizer Unternehmen sollten daher folgendes tun:
- Prüfen, ob sie Personendaten in die USA basierend auf dem Swiss-US Privacy Shield übermitteln. Im Idealfall lässt sich das über die eigene Datenschutzerklärung prüfen, die häufig auf der eigenen Webseite verfügbar ist.
- Falls ja: Andere Massnahmen implementieren, wie z.B. Abschluss der EU Standardvertragsklauseln zum Datenschutz (Standard Contractual Clauses) mit dem betreffenden Zielunternehmen in den USA. Gewisse US Dienstleister bieten den Abschluss dieser bereits vor dem Entscheid von heute von sich aus an. Alternativ könnte auch der Wechsel zu einem Anbieter in der Schweiz/EU/EWR geprüft werden oder eine vertragliche Garantie, dass die Datenverarbeitung nur in diesem Gebiet stattfindet.
Der Hintergrund:
Im Datenschutzrecht der EU (DSGVO) sowie der Schweiz sind Übermittlungen von Personendaten ins Ausland (z.B. an Subunternehmer wie Salesforce oder Mailchimp) nur zulässig, falls das Zielland über ein angemessenes Datenschutzniveau verfügt. Ist kein genügender gesetzlicher Schutz vorhanden, so müssen zusätzliche Massnahmen zum Schutz der Personendaten implementiert werden. Die USA verfügt nach Einschätzung der EU und der Schweiz nicht über ein genügendes Schutzniveau.
Eine mögliche Massnahme im Falle der USA war bisher die (Swiss oder EU)-US Privacy Shield Zertifizierung des Subunternehmers in den USA. Die Liste aller zertifizierten Anbieter findet sich hier: https://www.privacyshield.gov/list (Filter bei „Program“ auf „Swiss-US“ stellen).
Eine andere – und die neben dem Privacy Shield wohl häufigste – Möglichkeiten ist der Abschluss der EU Standardvertragsklauseln zum Datenschutz. Diese können hier abgerufen werden: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087
Viele Unternehmen mit Sitz in der Schweiz oder der EU haben Subunternehmer mit Sitz in den USA, die in ihrem Auftrag Personendaten bearbeiten. Besonders häufig ist dies bei Software-as-a-Service (SaaS) Diensten, wie z.B. Mailchimp, Workday, Salesforce oder anderen Cloud-Dienstleistungen, wie z.B. Webhosting oder Amazon Web Services.
Bei zahlreichen Schweizer Unternehmen basierte die Übermittlung der Personendaten bisher auf dem Swiss-US Privacy Shield. Dieses ist formell noch in Kraft, doch der in der Schweiz hierfür verantwortliche Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hatte bereits früher angekündigt, dass seine Einschätzung zur Angemessenheit des Swiss-US Privacy Shields von der Einschätzung der EU zum EU-US Privacy Shield abhängt:
„Angesichts der Tatsache, dass die Schweiz und die EU ihre Rechtsordnungen mit Blick auf den Datenschutz gegenseitig als gleichwertig anerkennen, bejaht die Schweiz die Angemessenheit des Datenschutzniveaus des Swiss-US Privacy Shield, soweit die EU die Adäquanz des EU-US Privacy Shield als
erfüllt beurteilt.“
– Auszug aus dem Bericht des EDÖB zum zweiten Swiss-US Privacy Shield Review (2019)
Es ist daher davon auszugehen, dass auch das Swiss-US Privacy Shield demnächst für ungültig erklärt oder aufgehoben wird.
Schweizer Unternehmen, die Personendaten bisher auf Basis des Swiss-US Privacy Shields in die USA übermitteln, sollten daher dringend andere Massnahmen implementieren. Im Vordergrund dürften bei den meisten der Abschluss der EU Standard Vertragsklauseln stehen. Alternativ könnte für einige auch der Wechsel zu einem Europäischen Anbieter oder die Garantie der Datenverarbeitung in der Schweiz/EU/EWR eine Option sein.