Ein Schutzschild für den Datenaustausch

Was bedeutet das EU-US Privacy Shield für Schweizer Unternehmen?

Seit August dieses Jahres ist das EU-US-Privacy-Shield-Abkommen in Kraft. Dieses regelt den transatlantischen Verkehr mit personenbezogenen Daten zwischen der EU und den USA, nachdem der Europäische Gerichtshof im Oktober 2015 die zuvor geltende Safe Harbor Vereinbarung für ungültig erklärt hat. Auch wenn das neue Abkommen für die Schweiz (noch) keine Geltung hat, müssen sich Schweizer Unternehmen bereits jetzt vorbereiten.

Die EU-Kommission hat im Juli den EU-Staaten den so genannten Angemessenheits­beschluss zugeleitet. Dieser ist Teil des EU-US-Privacy-Shield-Abkommens und bestätigt, dass der EU-US Privacy Shield hinreichende Garantien bietet, damit die Datenschutzstandards der EU bei der Übermittlung von Personendaten in die USA eingehalten sind, wenn der Datenempfänger sich dem Privacy Shield unterstellt hat. Das US-Handelsministerium prüft, ob Unternehmen über eine Datenschutzregelung (Privacy Policy) verfügen, die den Anforderungen des Privacy Shield entspricht. Fällt die Prüfung positiv aus, wird das Unternehmen registriert und in eine entsprechende Liste aufgenommen (unter www.privacyshield.gov/list einsehbar).

Der EU-US Privacy Shield beruht auf den folgenden Grundsätzen:

  • Für Unternehmen in den USA, die Personendaten aus der EU bearbeiten und sich dem EU-US Privacy Shield unterstellt haben, gelten Auflagen, deren Einhaltung durch das US-Handelsministerium überprüft wird.
     
  • US-Unternehmen müssen betroffenen Personen in der EU bei Auseinandersetzungen über den Datenschutz ein kostenloses alternatives Streitbeilegungsverfahren anbieten. Betroffene EU-Bürger können sich zudem an ihre nationale Datenschutzbehörde wenden, die dann zusammen mit der US Federal Trade Commission die Angelegenheit weiter behandelt, und es wird, falls eine die Lösung auf keinem dieser Wege möglich ist, als letztes Mittel ein Schiedsverfahren zur Verfügung gestellt.
     
  • Die USA haben zugesichert, dass US-Behörden, einschliesslich der US-Geheimdienste, keine flächendeckenden Massenzugriffe auf aus der EU übermittelte Daten durchführen werden und behördliche Datenzugriffe an rechtliche Rahmenbedingungen gebunden sind. EU-Bürger erhalten auch Zugang zu entsprechenden Rechtsschutzmechanismen. Im Zusammenhang mit Datenzugriffen aufgrund der nationalen Sicherheit ist im US-Aussenministerium eine spezielle Ombudsstelle vorgesehen, an die sich EU-Bürger wenden können.

Unterschiedliches Verständnis von Privatsphäre

Der rechtliche Hintergrund für den Privacy Shield ist die Anforderung des EU-Datenschutzrechts, wonach Personendaten grundsätzlich nur dann in EU-Drittstaaten ohne angemessenes Datenschutzniveau weitergegeben werden dürfen, wenn entweder besondere Gründe vorliegen, wie insbesondere die Einwilligung der betroffenen Person, oder wenn durch vertragliche Vereinbarungen mit dem Datenempfänger hinreichende Datenschutzgarantien geschaffen werden. Die EU-Kommission hat entsprechende Standardklauseln veröffentlicht, welche hier zu verwendet werden können.

Mit dem Privacy Shield soll, wie dies auch schon mit der früheren, vom Europäischen Gerichtshof als ungenügend beurteilten Safe-Harbor-Vereinbarung versucht wurde, die Möglichkeit geschaffen werden, dass Daten aus der EU in die USA weitergegeben werden können, auch wenn der Datenexporteur und der Datenimporteur keine Datenschutzgarantien miteinander vertraglich vereinbart haben. Zudem soll mit dem Privacy Shield dem weiteren Problem Rechnung getragen werden, dass vertragliche Garantien zwischen dem Datenexporteur und dem Datenimporteur gegen Datenzugriffe durch Behörden keinen Schutz gewähren. 

Die Rechtslage in der Schweiz ist zu derjenigen in der EU sehr ähnlich. Daten dürfen nur ins Ausland weitergegeben werden, wenn dort, wie z. B. in der EU, ein angemessener gesetzlicher Datenschutz besteht. Fehlt dieser, wie etwa in den USA, müssen mit dem Datenempfänger entsprechende Garantien vertraglich vereinbart werden. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) anerkennt in diesem Zusammenhang die von der EU-Kommission veröffentlichten Standardklauseln. Werden diese verwendet, so müssen die entsprechenden Verträge mit den Datenschutzempfängern im Ausland dem EDÖB nicht zur Prüfung unterbreitet werden. Ebenso hatte die Schweiz mit den USA ein Parallel-Abkommen zu Safe Harbor abgeschlossen. Dieses wird aber seit dem EuGH-Urteil vom EDÖB nicht mehr als genügend erachtet. Beim Staatssekretariat für Wirtschaft laufen daher aktuell Arbeiten für ein vergleichbares Abkommen zum EU-US Privacy Shield.

Wenn der Back-up-Server in den USA steht

Bis diese parallele Vereinbarung gilt, bleibt für Schweizer Unternehmen nur die Lösung, den Datenschutz mit den Datenempfängern in den USA auf vertraglicher Basis bestmöglich sicherzustellen. Damit kann zwar das Risiko von unverhältnismässigen Datenzugriffen durch US-Behörden nicht ausgeschlossen werden. Trotzdem führen vertragliche Regelungen mit Datenempfängern zu einer Verbesserung des Schutzniveaus und der EDÖB erachtet daher diesen Weg in der aktuellen Situation als vertretbar.

Das Fehlen eines Parallel-Abkommens zum EU-US Privacy Shield wirkt sich für Schweizer Unternehmen jedoch nicht nur dann erschwerend aus, wenn sie selber Daten direkt in die USA weitergeben, sondern insbesondere auch, wenn Daten zuerst an ein Unternehmen in der EU gehen, von wo sie in die USA weitergeleitet werden. Wegen des gleichwertigen Datenschutzniveaus sind für die Datenweitergabe an Datenempfänger in der EU keine vertraglichen Garantien notwendig, wohl aber, wenn die aus der Schweiz stammenden Daten aus der EU in die USA gelangen. Der EU-US Privacy Shield und die darin vorgesehenen Schutzmechanismen gelten für Personen in der Schweiz nicht, so dass in Bezug auf ihre Daten in den USA kein angemessener Datenschutz besteht. Solche Situationen sind recht häufig. Beispiele sind schweizerische Tochterunternehmen, welche Daten an das Europa-Hauptquartier weitergeben, von wo sie dann an das weltweite Headquarter in die USA gehen. Ein anderes Beispiel ist die Nutzung von Cloud Services, wenn der Anbieter zwar seinen Server in der EU hat, aber der Back-up-Server sich in den USA befindet.

Schweiz braucht Parallel-Abkommen

Unternehmen in der EU werden in solchen Fällen häufig wenig geneigt sein, nur wegen Daten, welche sie aus der Schweiz erhalten, vertragliche Garantien vom Datenempfänger zu verlangen, welche sie für die Weitergabe von Daten, die aus der EU stammen, gar nicht benötigen. Für Schweizer Unternehmen ist es daher in solchen Situationen nicht einfach, sich datenschutzkonform zu verhalten Es ist daher zu hoffen, dass möglichst bald ein Parallel-Abkommen zum Privacy Shield zwischen der Schweiz und den USA abgeschlossen werden kann, so dass für Schweizer Unternehmen im transatlantischen Datenverkehr wieder gleiche Voraussetzungen gelten wie für Unternehmen in der EU.

 

Ursula WidmerDr. Widmer & Partner, Bern

Die Rechtsanwältin Dr. Ursula Widmer ist Gründerin der auf Informatik-, Internet- und Telekommunikationsrecht spezialisierten Wirtschaftsanwaltskanzlei Dr. Widmer und Partner, Rechtsanwälte, in Bern, Lehrbeauftragte für Informatik- und Internetrecht an der Universität Bern sowie Lehrbeauftragte für Recht der Informationssicherheit an der Eidgenössischen Technischen Hochschule Zürich (ETHZ). 

Ein Schutzschild für den Datenaustausch

Was bedeutet das EU-US Privacy Shield für Schweizer Unternehmen?

Seit August dieses Jahres ist das EU-US-Privacy-Shield-Abkommen in Kraft. Dieses regelt den transatlantischen Verkehr mit personenbezogenen Daten zwischen der EU und den USA, nachdem der Europäische Gerichtshof im Oktober 2015 die zuvor geltende Safe Harbor Vereinbarung für ungültig erklärt hat. Auch wenn das neue Abkommen für die Schweiz (noch) keine Geltung hat, müssen sich Schweizer Unternehmen bereits jetzt vorbereiten.

Die EU-Kommission hat im Juli den EU-Staaten den so genannten Angemessenheits­beschluss zugeleitet. Dieser ist Teil des EU-US-Privacy-Shield-Abkommens und bestätigt, dass der EU-US Privacy Shield hinreichende Garantien bietet, damit die Datenschutzstandards der EU bei der Übermittlung von Personendaten in die USA eingehalten sind, wenn der Datenempfänger sich dem Privacy Shield unterstellt hat. Das US-Handelsministerium prüft, ob Unternehmen über eine Datenschutzregelung (Privacy Policy) verfügen, die den Anforderungen des Privacy Shield entspricht. Fällt die Prüfung positiv aus, wird das Unternehmen registriert und in eine entsprechende Liste aufgenommen (unter www.privacyshield.gov/list einsehbar).

Der EU-US Privacy Shield beruht auf den folgenden Grundsätzen:

  • Für Unternehmen in den USA, die Personendaten aus der EU bearbeiten und sich dem EU-US Privacy Shield unterstellt haben, gelten Auflagen, deren Einhaltung durch das US-Handelsministerium überprüft wird.
     
  • US-Unternehmen müssen betroffenen Personen in der EU bei Auseinandersetzungen über den Datenschutz ein kostenloses alternatives Streitbeilegungsverfahren anbieten. Betroffene EU-Bürger können sich zudem an ihre nationale Datenschutzbehörde wenden, die dann zusammen mit der US Federal Trade Commission die Angelegenheit weiter behandelt, und es wird, falls eine die Lösung auf keinem dieser Wege möglich ist, als letztes Mittel ein Schiedsverfahren zur Verfügung gestellt.
     
  • Die USA haben zugesichert, dass US-Behörden, einschliesslich der US-Geheimdienste, keine flächendeckenden Massenzugriffe auf aus der EU übermittelte Daten durchführen werden und behördliche Datenzugriffe an rechtliche Rahmenbedingungen gebunden sind. EU-Bürger erhalten auch Zugang zu entsprechenden Rechtsschutzmechanismen. Im Zusammenhang mit Datenzugriffen aufgrund der nationalen Sicherheit ist im US-Aussenministerium eine spezielle Ombudsstelle vorgesehen, an die sich EU-Bürger wenden können.

Unterschiedliches Verständnis von Privatsphäre

Der rechtliche Hintergrund für den Privacy Shield ist die Anforderung des EU-Datenschutzrechts, wonach Personendaten grundsätzlich nur dann in EU-Drittstaaten ohne angemessenes Datenschutzniveau weitergegeben werden dürfen, wenn entweder besondere Gründe vorliegen, wie insbesondere die Einwilligung der betroffenen Person, oder wenn durch vertragliche Vereinbarungen mit dem Datenempfänger hinreichende Datenschutzgarantien geschaffen werden. Die EU-Kommission hat entsprechende Standardklauseln veröffentlicht, welche hier zu verwendet werden können.

Mit dem Privacy Shield soll, wie dies auch schon mit der früheren, vom Europäischen Gerichtshof als ungenügend beurteilten Safe-Harbor-Vereinbarung versucht wurde, die Möglichkeit geschaffen werden, dass Daten aus der EU in die USA weitergegeben werden können, auch wenn der Datenexporteur und der Datenimporteur keine Datenschutzgarantien miteinander vertraglich vereinbart haben. Zudem soll mit dem Privacy Shield dem weiteren Problem Rechnung getragen werden, dass vertragliche Garantien zwischen dem Datenexporteur und dem Datenimporteur gegen Datenzugriffe durch Behörden keinen Schutz gewähren. 

Die Rechtslage in der Schweiz ist zu derjenigen in der EU sehr ähnlich. Daten dürfen nur ins Ausland weitergegeben werden, wenn dort, wie z. B. in der EU, ein angemessener gesetzlicher Datenschutz besteht. Fehlt dieser, wie etwa in den USA, müssen mit dem Datenempfänger entsprechende Garantien vertraglich vereinbart werden. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) anerkennt in diesem Zusammenhang die von der EU-Kommission veröffentlichten Standardklauseln. Werden diese verwendet, so müssen die entsprechenden Verträge mit den Datenschutzempfängern im Ausland dem EDÖB nicht zur Prüfung unterbreitet werden. Ebenso hatte die Schweiz mit den USA ein Parallel-Abkommen zu Safe Harbor abgeschlossen. Dieses wird aber seit dem EuGH-Urteil vom EDÖB nicht mehr als genügend erachtet. Beim Staatssekretariat für Wirtschaft laufen daher aktuell Arbeiten für ein vergleichbares Abkommen zum EU-US Privacy Shield.

Wenn der Back-up-Server in den USA steht

Bis diese parallele Vereinbarung gilt, bleibt für Schweizer Unternehmen nur die Lösung, den Datenschutz mit den Datenempfängern in den USA auf vertraglicher Basis bestmöglich sicherzustellen. Damit kann zwar das Risiko von unverhältnismässigen Datenzugriffen durch US-Behörden nicht ausgeschlossen werden. Trotzdem führen vertragliche Regelungen mit Datenempfängern zu einer Verbesserung des Schutzniveaus und der EDÖB erachtet daher diesen Weg in der aktuellen Situation als vertretbar.

Das Fehlen eines Parallel-Abkommens zum EU-US Privacy Shield wirkt sich für Schweizer Unternehmen jedoch nicht nur dann erschwerend aus, wenn sie selber Daten direkt in die USA weitergeben, sondern insbesondere auch, wenn Daten zuerst an ein Unternehmen in der EU gehen, von wo sie in die USA weitergeleitet werden. Wegen des gleichwertigen Datenschutzniveaus sind für die Datenweitergabe an Datenempfänger in der EU keine vertraglichen Garantien notwendig, wohl aber, wenn die aus der Schweiz stammenden Daten aus der EU in die USA gelangen. Der EU-US Privacy Shield und die darin vorgesehenen Schutzmechanismen gelten für Personen in der Schweiz nicht, so dass in Bezug auf ihre Daten in den USA kein angemessener Datenschutz besteht. Solche Situationen sind recht häufig. Beispiele sind schweizerische Tochterunternehmen, welche Daten an das Europa-Hauptquartier weitergeben, von wo sie dann an das weltweite Headquarter in die USA gehen. Ein anderes Beispiel ist die Nutzung von Cloud Services, wenn der Anbieter zwar seinen Server in der EU hat, aber der Back-up-Server sich in den USA befindet.

Schweiz braucht Parallel-Abkommen

Unternehmen in der EU werden in solchen Fällen häufig wenig geneigt sein, nur wegen Daten, welche sie aus der Schweiz erhalten, vertragliche Garantien vom Datenempfänger zu verlangen, welche sie für die Weitergabe von Daten, die aus der EU stammen, gar nicht benötigen. Für Schweizer Unternehmen ist es daher in solchen Situationen nicht einfach, sich datenschutzkonform zu verhalten Es ist daher zu hoffen, dass möglichst bald ein Parallel-Abkommen zum Privacy Shield zwischen der Schweiz und den USA abgeschlossen werden kann, so dass für Schweizer Unternehmen im transatlantischen Datenverkehr wieder gleiche Voraussetzungen gelten wie für Unternehmen in der EU.

 

Ursula WidmerDr. Widmer & Partner, Bern

Die Rechtsanwältin Dr. Ursula Widmer ist Gründerin der auf Informatik-, Internet- und Telekommunikationsrecht spezialisierten Wirtschaftsanwaltskanzlei Dr. Widmer und Partner, Rechtsanwälte, in Bern, Lehrbeauftragte für Informatik- und Internetrecht an der Universität Bern sowie Lehrbeauftragte für Recht der Informationssicherheit an der Eidgenössischen Technischen Hochschule Zürich (ETHZ).