Vorab: Was haben Schweizer Unternehmen nun zu tun?
- Prüfen Sie, ob in Ihrem Unternehmen Personendaten in die USA gestützt auf das Swiss-US Privacy Shield übermittelt werden. Eine Liste der Anbieter, die sich (zumindest auch) auf das Swiss-US Privacy Shield stützen, finden Sie hier: Privacy Shield Liste (bei Button Advanced Filter „Program“ auf Swiss-US stellen) Ein guter Startpunkt kann auch die eigene Datenschutzerklärung sein, die häufig über die Nutzung des Swiss-US Privacy Shields informiert.
- Falls solche Übermittlungen stattfinden, prüfen Sie, ob Sie stattdessen mit vertraglichen Garantien die bestehenden Datenschutzrisiken eindämmen können (mehr dazu unten).
- Sollte dies nicht möglich sein, prüfen Sie Lösungen, die den Zugriff faktisch verhindern (z.B. Verschlüsselung), ein Aussetzen der Datenübermittlung (mehr dazu unten), ein Wechsel zu einem europäischen Anbieter oder – bei kleineren oder erst noch aufzubauenden Datenbeständen – das Einholen der Einwilligung aller Betroffenen.
Der Hintergrund:
Wer Personendaten ins Ausland transferieren möchte, muss sich vorher mit dem Datenschutz befassen. Ein einfacher Transfer ohne weitere Massnahmen ist nur in solche Länder zulässig, die selbst über ein angemessenes Datenschutzniveau verfügen. Fehlt eine entsprechende Gesetzgebung, sind weitere Massnahmen zu ergreifen, wie z.B. Standardvertragsklauseln. In der Schweiz gibt die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geführte Staatenliste Auskunft darüber, welche Länder über ein angemessenes Datenschutzniveau verfügen.
Die USA sind wohl die bekannteste Nation, die nicht über ein angemessenes Datenschutzniveau verfügt. Aus diesem Grund hatten sowohl die EU wie auch die Schweiz mit den USA ein Framework verhandelt, das sogenannte EU-US bzw. Swiss-US Privacy Shield. Nach diesem konnten sich US Unternehmen durch Selbstdeklaration zertifizieren und gewissen Datenschutzregeln und Prozessen unterwerfen. Im Gegenzug wurde eine Übermittlung von Personendaten an solche Unternehmen von der EU wie auch der Schweiz behandelt, als wäre der Empfänger in einem Staat mit angemessenem Datenschutzniveau.
Der EuGH hat das EU-US Privacy Shield mit Urteil vom 16. Juli 2020 für ungültig erklärt (siehe dazu unseren früheren Blogbeitrag). Das Schweizer Pendant blieb dadurch formell unberührt, da Entscheide des Gerichtshofs der Europäischen Union für die Schweiz nicht verbindlich sind.
In seiner Medienmitteilung von heute hat der EDÖB nun mitgeteilt, dass auch das Swiss-US Privacy Shield seiner Ansicht nach keinen angemessenen Schutz mehr bietet. In der Konsequenz hat er die Staatenliste aktualisiert. Auch nach Swiss-US Privacy Shield zertifizierte US Unternehmen bieten nun keinen angemessenen Datenschutz mehr, weshalb eine Übermittlung an diese nach Schweizer Datenschutzrecht nur zulässig ist, wenn der Personendatenschutz durch andere Massnahmen gewährleistet ist.
Im Sinne eines Prüfschemas für die auf vertragliche Garantien gestütze Übermittlung von Personendaten in die USA oder andere Länder, welche nicht über ein angemessenes Datenschutzniveau verfügen, schlägt der EDÖB einen dreiteiligen Prozess vor:
- Risikoabschätzung
Zunächst soll in einer Risikoabschätzung beurteilt werden, ob sich die bestehenden datenschutzrechtlichen Risiken durch Standardvertragsklauseln, allenfalls mit Ergänzungen, abdecken lassen. - Position des Empfängers
Dann soll in einem zweiten Schritt geprüft werden, ob der Empfänger der Daten einerseits besonderen Zugriffen der lokalen Behörden unterworfen ist (wie z.B. US Massenüberwachungsgesetze) und anderseits in der Lage ist, die vertragliche von ihm verlangte Mitwirkung zum Schutz der Personendaten zu erbringen. - Schutz durch technische Massnahmen
Kann das Risiko der Behördenzugriffe aufgrund der Position des Empfängers nicht eingedämmt werden, so sollen technische Massnahmen den Zugriff faktisch verhindern, wie z.B.BYOK (bring your own key, d.h. der Empfänger verfügt nicht über den nötigen Schlüssel zur Entschlüsselung der Daten) Lösungen.
Bei vielen Cloud Diensten ist BYOK indessen technisch nur schwierig umzusetzen bzw. wird meist gar nicht erst angeboten. In solchen Fällen empfiehlt der EDÖB, auf die Übermittlung von Personendaten gestützt auf vertragliche Garantien zu verzichten.
Nach Schweizer Datenschutzrecht besteht sodann unter dem aktuellen wie auch unter dem Entwurf für das neue Datenschutzgesetz immer die Möglichkeit, die Bekanntgabe auf eine ausdrückliche Einwilligung der betroffenen abzustellen. Entscheid man sich für diese Lösung, sollte ein besonderes Augenmerk auf eine ausführliche Information der Betroffenen gelegt werden, da die Einwilligung ansonsten ungültig sein könnte.