Der sogenannte „Swiss-US Privacy Shield“ ersetzt das vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bereits im Jahr 2015 für ungenügend erklärte und vom Bundesrat formell aufgehobene Safe Harbor Abkommen zwischen der Schweiz und den USA. Damit ergibt sich für die Übermittlung von Personendaten aus der Schweiz in die USA wieder eine Vereinfachung.
Problemstellung in Kürze
Bei der Bearbeitung von Personendaten aus der Schweiz sind die gesetzlichen Schranken des Datenschutzgesetzes (DSG) zu berücksichtigen. Sobald Daten von der Schweiz ins Ausland bekannt gegeben werden (z.B. durch elektronische Übermittlung), muss überprüft werden, ob der betreffende Staat über ein aus schweizerischer Sicht angemessenes Datenschutzniveau verfügt. Auf seiner Internetseite hat der EDÖB (www.edoeb.admin.ch) eine Liste veröffentlicht, die aufführt, welche Staaten über eine angemessene Datenschutzgesetzgebung verfügen. Zu diesen Staaten zählen (zumindest für Daten über natürliche Personen) z.B. die EU-Staaten, nicht aber die USA. Verfügt ein Staat wie z.B. die USA aus Sicht der Schweiz nicht über ein angemessenes Datenschutzniveau, schreibt das DSG vor, dass ein genügender Schutz der Daten anderweitig sichergestellt werden muss. So kann die betroffene Person beispielsweise in die Übermittlung ihrer Daten ins Ausland im Einzelfall einwilligen. Ein angemessenes Datenschutzniveau kann ebenfalls durch vertragliche Zusicherungen des Datenempfängers im Ausland oder bei Bekanntgabe innerhalb eines Konzerns auf Basis von konzerninternen Datenschutzregeln erreicht werden. Eine weitere Alternative bilden staatlich genehmigte Regelwerke mit Mindeststandards zum Datenschutz, denen sich ein Datenempfänger im Ausland freiwillig unterstellen kann (z.B. bisheriges Safe Harbor Abkommen / neuer Privacy Shield).
Aufgehobenes Safe Harbor Abkommen
Gemäss dem bisherigen Safe Harbor Abkommen zwischen der Schweiz bzw. der EU und den USA konnten sich US-Unternehmen verpflichten, bei der Bearbeitung von Daten Mindeststandards einzuhalten. Von dieser Möglichkeit hatten rund 4‘000 US-Unternehmen Gebrauch gemacht. Bei der Übermittlung von Daten aus der Schweiz an diese rund 4‘000 US-Unternehmen mussten demnach keine zusätzlichen Voraussetzungen, wie beispielsweise der Abschluss von Datenschutzvereinbarungen, erfüllt werden.
Aufgrund eines Entscheides des Europäischen Gerichtshofes (EuGH) vom 6. Oktober 2015 ergab sich, dass das Safe Harbor Abkommen zwischen der EU und den USA keine Grundlage für einen angemessenen Datenschutz in den USA darstellte. Am 22. Oktober 2015 erklärte auch der EDÖB, dass das Safe Harbor Abkommen zwischen der Schweiz und den USA keine genügende datenschutzrechtliche Rechtsgrundlage für die Übermittlung von Personendaten in die USA bilde (vgl. dazu unseren Alert vom November 2015). Seither war ungewiss, ob und falls ja, wann die EU bzw. die Schweiz mit den USA ein neues Abkommen zur vereinfachten Übermittlung von Daten abschliessen würden. Mit dem nun ausgehandelten Privacy Shield wurde diese Frage geklärt. Am 12. Juli 2016 hat die EU-Kommission das EU-US Privacy Shield verabschiedet. Bisher haben sich bereits ca. 2‘000 Unternehmen nach dem EU-US Privacy Shield zertifizieren lassen (u.a. Google Inc. und Microsoft Corporation; vgl. dazu https://www.privacyshield.gov/list).
Swiss-US Privacy Shield
Im Anschluss an die EU, hat nun auch die Schweiz mit den USA ein neues Abkommen ausgehandelt (Swiss-US Privacy Shield), welches sich inhaltlich an den Regelungen des EU-US Privacy Shields orientiert. Gemäss Medienmitteilung des EDÖB vom 11. Januar 2017 wird durch Unternehmen, die sich nach dem Swiss-US Privacy Shield zertifizieren, in den USA ein genügendes Datenschutzniveau gewährleistet. Interessierte US-Unternehmen können ab dem 12. April 2017 mit dem Zertifizierungsprozess beginnen.
Verbesserungen gegenüber Safe Harbor
Die unter dem Safe Harbor zertifizierten US-Unternehmen hatten sich verpflichtet, bei der Bearbeitung von Daten Mindeststandards einzuhalten. Diese Verpflichtung gehen auch die unter dem Swiss-US Privacy Shield zertifizierten US-Unternehmen ein. Das Swiss-US Privacy Shield bringt gegenüber dem Safe Harbor Abkommen aus Sicht der Person, über die Daten in die USA gelangen, jedoch zusätzliche Vorteile: So werden die nach dem Swiss-US Privacy Shield zertifizierten Unternehmen angehalten, die Datenschutzprinzipien verstärkt anzuwenden. Zudem werden die Informationsrechte der betroffenen Personen im Zusammenhang mit der Datenbearbeitung verbessert. Über einen Ombudsmechanismus wird den betroffenen Personen die Möglichkeit gegeben, indirekt auf die Bearbeitung ihrer Daten durch US-Sicherheitsbehörden Einfluss zu nehmen. Die US-Behörden müssen die korrekte Umsetzung des Swiss-US Privacy Shields überwachen und sicherstellen, dass die Rechte der betroffenen Personen tatsächlich gestärkt sind. Schliesslich soll die Zusammenarbeit zwischen den US-Behörden und dem EDÖB intensiviert werden, da der EDÖB erste Anlaufstelle für die betroffenen Personen bei Problemen im Zusammenhang mit Datentransfers in die USA sein wird.
Würdigung
Mit dem Swiss-US Privacy Shield gelten für die Übermittlung von Personendaten aus der Schweiz in die USA inhaltlich die gleichen Standards wie für diejenigen aus der EU. Dies ist im Sinne der Rechtssicherheit sowie des Wirtschaftsverkehrs zu begrüssen. Ob der Privacy Shield in Kraft bleiben wird, ist jedoch nicht sicher. Demnächst wird das Europäische Parlament darüber beraten, ob der EU-US Privacy Shield einen angemessenen Datenschutz gewährleistet. Es ist auch nicht ausgeschlossen, dass der EuGH aufgrund einer Beschwerde über den EU-US Privacy Shield urteilen müsste und zum Schluss kommen würde, dass dieser den Datenschutzstandards der EU nicht entspricht. Entscheide gegen den EU-US Privacy Shield hätten Auswirkungen auf die Schweiz. Zudem wird von der Schweiz und der EU jeweils jährlich geprüft, ob der Privacy Shield weiterhin ein angemessenes Datenschutzniveau gewährleistet. Die Feststellung, dass der Privacy Shield einen genügenden Datenschutz in den USA sicherstellt, kann also widerrufen werden.
Umsetzung in der Praxis & Empfehlung
Falls Sie resp. Ihr Unternehmen Daten über natürliche oder juristische Personen in die USA übermitteln, sollten Sie ab dem 12. April 2017 darauf achten, ob Ihre amerikanischen Partner über die Zertifizierung nach dem Swiss-US Privacy Shield verfügen. Ist dies nicht der Fall, muss der Schutz der zu übermittelnden Daten wie bisher anderweitig, insbesondere durch vertragliche Garantien sichergestellt werden. Bestehende Verträge wären auf Gewährleistung eines genügenden Datenschutzniveaus zu überprüfen. Sind keine Vereinbarungen zum Datenschutz vorhanden und zertifiziert sich das US-Unternehmen nicht unter dem Privacy Shield, muss ein angemessenes Datenschutzniveau durch neu abzuschliessende Verträge hergestellt werden. Zu diesem Zweck stellen der EDÖB und die EU-Datenschutzbehörden Musterverträge und Standardklauseln zur Verfügung. Dabei darf die vorherige Notifikation an den EDÖB nicht vergessen werden. In jedem Fall, selbst wenn Daten an zertifizierte Partner übermittelt werden, müssen die betroffenen Personen über den Datentransfer in die USA informiert werden.
Gerne unterstützen wir Sie bei der Umsetzung.