Am 6. Oktober 2015 erliess der Europäische Gerichtshof (EuGH) ein Urteil, aufgrund dessen das Safe Harbor Abkommen für die Übermittlung von Personendaten in die USA keine genügende Grundlage mehr bildet. Obschon das Urteil keine Gültigkeit für die Schweiz hat, besteht gegenwärtig auch hierzulande Handlungsbedarf, zumal der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kürzlich einschlägige Empfehlungen erlassen und diese teilweise mit einer Frist per Ende Januar 2016 verknüpft hat.

Problemstellung in Kürze

Die Bearbeitung von Personendaten unterliegt bekanntlich gesetzlichen Beschränkungen. Konkret dürfen Daten über eine Person nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde oder sich aus den Umständen ergibt. Im Gegensatz zu den meisten anderen Ländern sind in der Schweiz auch Daten über juristische Personen geschützt. Bereits das Beschaffen, Aufbewahren, Archivieren oder Weitergeben von Personendaten (fortan ‚Daten‘) gilt als Datenbearbeitung. Werden Daten von der Schweiz ins Ausland bekannt gegeben (z.B. durch elektronische Übermittlung), ist zu prüfen, ob in dem betreffenden Staat ein aus schweizerischer Sicht angemessener Datenschutz besteht. Der EDÖB hat auf seiner Internetseite (www.edoeb.admin.ch) eine Liste veröffentlicht, in welcher Staaten mit angemessener Datenschutzgesetzgebung aufgeführt sind. Zu diesen Staaten gehören (zumindest für Daten über natürliche Personen) z.B. die EU-Staaten, Israel oder Neuseeland. Demgegenüber verfügen die USA aus Sicht der Schweiz und der EU nicht über einen angemessenen Datenschutz. Fehlt eine genügende Gesetzgebung, können Daten nur unter Einhaltung zusätzlicher Vor-aussetzungen ins Ausland übermittelt werden. Beispielsweise kann sich der Datenempfänger im Ausland vertraglich verpflichten, einen angemessenen Datenschutz zu gewährleisten. Auf der Internetseite des EDÖB finden sich Musterverträge und Standardvertragsklauseln, die bei der Ausarbeitung solcher Vertragsbestimmungen helfen. Der EDÖB muss sodann vor Übermittlung der Daten darüber informiert werden, wie der Datenexport vertraglich geregelt wird. Ein anderes Beispiel für hinreichende Garantien sind Regelwerke mit Mindeststandards zum Datenschutz, denen sich ein Datenempfänger im Ausland freiwillig unterstellen kann (z.B. Safe Harbor Abkommen mit den USA). Weiter kann die betroffene Person in die Übermittlung ihrer Daten ins Ausland einzelfallweise einwilligen. Innerhalb eines Konzerns kann ein angemessener Datenschutz durch konzerninterne Datenschutzregeln (Binding Corporate Rules) gewährleistet werden.

Safe Harbor Abkommen

Sowohl die EU als auch die Schweiz haben mit den USA ein Abkommen geschlossen, gemäss welchem sich US-Unternehmen verpflichten können, bei der Bearbeitung von Daten Mindeststandards einzuhalten. Bei der Übermittlung von Daten an diese Unternehmen mussten bisher keine zusätzlichen Voraussetzungen, wie beispielsweise der Abschluss von Datenschutzvereinbarungen, erfüllt werden. Rund 4‘000 US-Unternehmen haben sich dem Safe Harbor Abkommen zwischen der Schweiz und den USA unterstellt.

Entscheid des Europäischen Gerichtshofs

Am 6. Oktober 2015 hob der EuGH den Entscheid der EU-Kommission auf, welcher das Safe Harbor Abkommen als Grundlage für einen genügenden Datenschutz in den USA bezeichnete. Hintergrund bildete die Klage eines österreichischen Staatsbürgers gegen eine Tochtergesellschaft des amerikanischen Facebook Konzerns in Irland. Der EuGH kam zum Schluss, die US-Gesetze würden vor einem unberechtigten Zugriff oder Missbrauch von Daten nicht genügend schützen, was auch durch das Abkommen nicht verhindert werde.

Mitteilung der EU-Kommission

Am 6. November 2015 hat die EU-Kommission mitgeteilt, dass die EU-Standardvertragsklauseln weiterhin verwendet werden können. Weiter soll bis Ende Januar 2016 ein neues Safe Harbor Abkommen ausgehandelt sein. Da vertragliche Regelungen nicht vor einem unverhältnismässigen Behördenzugriff schützen, ist das eigentliche Problem so noch nicht gelöst. Ob sodann bis Ende Januar 2016 ein neues Safe Harbor Abkommen abgeschlossen werden kann, ist keinesfalls sicher.

Empfehlung des EDÖB

Am 22. Oktober 2015 erklärte der EDÖB, das Safe Harbor Abkommen bilde auch für die Schweiz keine genügende Rechtsgrundlage und erliess eine Empfehlung für die Übermittlung von Personendaten in die USA. Der EDÖB empfiehlt zunächst die Vereinbarung vertraglicher Garantien mit US-Unternehmen zum Schutz von Daten (z.B. auf Basis der vorgenannten Standardvertragsklauseln und Musterverträge). Zudem sollen Personen, deren Daten in die USA übermittelt werden, über die möglichen Behördenzugriffe informiert werden. Diese Informationspflicht ist gemäss EDÖB auch im Vertrag zwischen dem Schweizer Datenexporteur und dem US-Empfänger der Daten festzuhalten. Schliesslich rät der EDÖB, dass Personen, deren Daten in die USA übermittelt werden, die notwendigen Behelfe für einen wirksamen Rechtsschutz zur Verfügung gestellt werden. Demnach müssen sich sowohl der Datenexporteur als auch der Datenempfänger verpflichten, zumutbare Anstrengungen zu unternehmen, wenn eine betroffene Person gegen die Herausgabe von Daten opponiert. Bei hängigen Verfahren in der Schweiz sollen zudem geplante Datenlieferungen aufgeschoben werden.

Für die von ihm geforderten vertraglichen Anpassungen hat der EDÖB eine Frist bis Ende Januar 2016 gesetzt. Bei Nichtbeachtung einer Empfehlung durch einen Datenexporteur kann der EDÖB den Fall dem Bundesverwaltungsgericht zum verbindlichen Entscheid vorlegen. Allerdings ist u.E. fraglich, ob der EDÖB einschreiten wird, bevor geklärt ist, ob und wann ein neues Safe Harbor Abkommen in Kraft tritt.

Letztlich bedarf es einer politischen Lösung mit dem Ziel eines neuen Safe Harbor Abkommens.

Umsetzung in der Praxis & Empfehlung

Die Empfehlung des EDÖB betrifft lediglich die Übermittlung von Daten in die USA. Für Daten, die in andere Länder transferiert werden, sind weiterhin die bisher geltenden Vorschriften zu beachten. Entsprechend empfehlen wir Ihnen zunächst, abzuklären, ob Sie überhaupt Daten über natürliche oder juristische Personen in die USA übermitteln. Ist dies der Fall, sollten Sie prüfen, welche Vereinbarungen Sie mit Ihrem US-amerikanischen Partner eingegangen sind. Fehlen dazu Regelungen, weil sich der Datenempfänger in den USA dem Safe Harbor Abkommen unterstellt hat, können Sie solche Vereinbarungen unter Verwendung der auf der Webpage des EDÖB zur Verfügung gestellten Musterverträge und Standardvertragsklauseln schliessen, verbunden mit einer Notifikation an den EDÖB.

Gemäss Empfehlung des EDÖB sollten die Informationspflicht und die Verpflichtung zur Wahrung der Rechte der betroffenen Personen in die der Datenübermittlung zugrunde liegenden Verträge aufgenommen werden. In vielen Fällen werden diese Verträge vom US-Empfänger, der die Daten aufbewahrt, erstellt worden sein. Entsprechend empfehlen wir Ihnen, mit Ihrem Vertragspartner Kontakt aufzunehmen; es ist denkbar, dass dieser die Überarbeitung der Verträge bereits an die Hand genommen hat. Ist dies nicht der Fall, sollten Sie diesen Prozess in Gang setzen und gegenüber Ihrem US-amerikanischen Vertragspartner auf die Umsetzung der Empfehlung des EDÖB pochen. Sodann sind die betroffenen Personen über die möglichen Behördenzugriffe zu informieren.

Gerne unterstützen wir Sie bei der Umsetzung der EDÖB-Empfehlung.

Weitere Artikel