EDÖB: Stellungnahme zu Datentransfers in die USA und weitere Staaten ohne angemessenes Datenschutzniveau

  
Im Nachgang zum Schrems II Urteil des EuGH hat sich der Eidgenössische Datenschutzbeauftragte (EDÖB) zum Swiss-US Privacy Shield und zu Datentransfers in die USA geäussert. Mit der Stellungnahme und der Anpassung der Staatenliste stellt die Swiss-US Privacy Shield Zertifizierung in der Regel auch aus Schweizer Sicht keine ausreichende Garantie für Datentransfers in die USA mehr dar. Die Staatenliste des EDÖB wird mittelfristig zwar abgeschafft und der Bundesrat könnte eine Swiss-US Privacy Shield Zertifizierung unter dem totalrevidierten DSG als angemessene Garantie für einen Datenexport in die Vereinigten Staaten anerkennen. Bundesrat und EDÖB dürften den grenzüberschreitenden Datentransfer aber weiterhin mit Blick auf die Rechtsentwicklung in der EU regulieren und mit einem EU-US Privacy Shield 2.0 ist zumindest in naher Zukunft nicht zu rechnen. Ob der Swiss-US Privacy Shield weiterbestehen wird, ist daher höchst ungewiss. Die Bedeutung von vertraglichen Garantien bei Datentransfers in die USA nimmt damit zu. Da der Einsatz der bisher häufig vereinbarten Standard Contractual Clauses (SCC) unter dem EU Recht
einer Einzelfallprüfung bedarf, sind Schweizer Unternehmen auch mit Blick auf das revidierte Datenschutzgesetz und dessen strafrechtliche Sanktionen gut beraten, die notwendigen Anpassungen von vertraglichen Garantien wie den SCC, aber auch Binding Corporate Rules (BCR), schon jetzt einzuleiten. Dies gilt für Datentransfers in die USA sowie in andere Länder, die gemäss geltender Einschätzung aus schweizerischer Sicht kein angemessenes Datenschutzniveau bieten.
  

Hintergrund: die Regelung des grenzüberschreitenden Datentransfers im DSG

Das geltende Schweizer Datenschutzgesetz bestimmt, dass Personendaten nicht ins Ausland bekannt gegeben werden dürfen, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde. Eine solche schwerwiegende Persönlichkeitsgefährdung droht namentlich, wenn im Exportland eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 Abs. 1 DSG). Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) führt zu diesem Zweck eine öffentlich zugängliche Staatenliste, in der er sich zur Angemessenheit der Gesetzgebung einzelner Länder äussert (Art. 31 Abs. 1 lit. d DSG). Für die Angemessenheit der Gesetzgebung massgebend sind gemäss EDÖB (siehe auch EDÖB, Erläuterungen zur Datenübermittlung ins Ausland):

  • Die Gesetze und deren praktische Umsetzung durch die Staaten sowie deren Beurteilung durch Lehre und Rechtsprechung;
      
  • Datenschutzrechtliche Konventionen, Publikationen, Stellungnahmen und Beschlüsse in- und ausländischer Institutionen und Behörden zur Gleichwertigkeit oder Angemessenheit des von anderen; Staaten gewährleisteten Datenschutzniveaus
      
  • Ob betroffene Personen bei Nichteinhaltung datenschutzrechtlicher Grundsätze ihre Interessen wahren können, insbesondere ob das Auskunftsrecht gewährleistet wird.

 

Bisherige Einschätzung USA: Angemessener Datenschutz bei Swiss-US Privacy Shield Zertifizierung

Die Gesetzgebung der Vereinigten Staaten gewährleistete gemäss bisheriger Einschätzung des EDÖB grundsätzlich keinen angemessenen Schutz. Allerdings war in der Staatenliste des EDÖB bei den USA der Hinweis «angemessener Schutz unter bestimmten Voraussetzungen» angebracht. Aus den Erläuterungen des EDÖB zu diesem Hinweis ergab sich, dass Daten an US-Unternehmen bekanntgegeben werden konnten, wenn diese unter dem Swiss-US Privacy Shield zertifiziert waren. Das Swiss-US Privacy Shield entspricht inhaltlich dem Parallelabkommen EU-US Privacy Shield zwischen der EU und den USA. Beide sehen ein in Zusammenarbeit mit den Vereinigten Staaten administriertes Zertifizierungsverfahren vor, bei dem US-Unternehmen sich verpflichten, Datenschutzgrundsätze einzuhalten, und die USA geben darin hinsichtlich der exportieren Daten gewisse Garantien ab. Insbesondere sollen die Vereinigten Staaten garantieren, dass sie eine indirekte Kontrolle von Zugriffen ihrer Behörden auf Schweizer Daten über einen Ombudsperson-Mechanismus ermöglichen (vgl. MLL-News vom 15. Februar 2017 sowie MLL-News vom 27. September 2017).
  

Schrems II Urteil des EuGH

Mit dem im Juli gefällten Schrems II Urteil wurde der Beschluss der EU Kommission über die Angemessenheit des EU-US Privacy Shields durch den EuGH für ungültig erklärt. Aus Sicht des EuGH garantieren die Mechanismen des EU-US Privacy Shield kein dem europäischen Recht der Sache nach gleichwertiges Schutzniveau. Der Datentransfer durch der DSGVO unterstehende Verantwortliche an US Unternehmen kann damit nicht mehr auf Grundlage eines Angemessenheitsbeschlusses im Sinne von Art. 45 DSGVO erfolgen (vgl. MLL-News vom 5.10.2020). Das Swiss-US Privacy Shield ist von diesem Beschluss formell zwar unberührt, da der EuGH für dessen Beurteilung nicht zuständig ist, aber angesichts der inhaltlichen Parallelität der vereinbarten Mechanismen konnten die vom EuGH festgestellten Unzulänglichkeiten in der Schweiz nicht ignoriert werden.

 

Stellungnahme des EDÖB zu Schrems II

Kein angemessenes Datenschutzniveau durch Privacy Shield

Es fragte sich aus Schweizer Sicht, welche Auswirkungen der Schrems II Entscheid auf das Swiss-US Privacy Shield hat. Mit seiner am 8. September 2020 veröffentlichten Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG versucht der EDÖB dem Praxisbedürfnis einer Klarstellung nachzukommen.

Der EDÖB ruft zunächst in Erinnerung, dass die Mechanismen des Privacy Shields in Zusammenarbeit mit den zuständigen EU Behörden jährlich evaluiert werden. Bereits im Evaluationsbericht 2019 hielt der EDÖB fest, dass es für die Betroffenen in der Schweiz an direkt durchsetzbaren Rechtsansprüchen in den Vereinigten Staaten fehlt und die Wirksamkeit des sog. Ombudsperson-Mechanismus, der einen indirekt durchsetzbaren Rechtsbehelf garantieren soll, mangels Transparenz seitens der USA nicht beurteilt werden kann. Weiter hatte der EDÖB damals gerügt, dass die Entscheidkompetenzen der Ombudsperson gegenüber den US-Nachrichtendiensten sowie ihre tatsächliche Unabhängigkeit unbelegt blieben.

Der EDÖB nimmt daher das Schrems II Urteil als Anlass zur Neubeurteilung der Angemessenheit des Datenschutzniveaus in den Vereinigten Staaten und lässt seine Feststellungen des Evaluationsberichts von 2019 einfliessen. Er stuft den Mangel an Transparenz und das daraus abzuleitende Fehlen von Garantien bei Grundrechtseingriffen der US-Behörden als mit der Rechtsweggarantie und den Grundsätzen der rechtmässigen Personendatenbearbeitung nach Art. 4 DSG unvereinbar ein. Daher sieht sich der EDÖB veranlasst, in der Staatenliste den Hinweis zu streichen, dass die USA bzw. US-Unternehmen einen angemessenen Datenschutz unter bestimmten Bedingungen gewährleisten.

Der EDÖB stellt aber klar, dass die formelle Aufhebung des Privacy-Shields nicht in seine Zuständigkeit fällt. Entsprechend wird in der Länderliste neu der Vermerk angebracht, dass der Privacy Shield besondere Schutzrechte gewährt, diese den Anforderungen an einen angemessenen Datenschutz im Sinne des DSG jedoch nicht genügen. Diesbezüglich ist zu bemerken, dass das US-Department of Commerce die Stellungnahme des EDÖB zur Kenntnis nahm, aber angekündigt hat, mit der Administrierung des Swiss-US Privacy Shields fortzufahren. US-Unternehmen können sich auch weiterhin zertifizieren lassen (vgl. US Department of Commerce, FAQs – Swiss U.S. Privacy Shield (1-4)).
  

Alternative: Vertragliche Garantien

Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten in diesen Staat nur unter den Voraussetzungen nach Art. 6 Abs. 2 DSG bekanntgegeben werden. Im grenzüberschreitenden Geschäftsverkehr besonders relevant sind zwischen schweizerischem Datenexporteur und ausländischem Datenimporteur vereinbarte vertragliche Garantien, die einen angemessenen Schutz im Ausland gewährleisten (vgl. Art. 6 Abs. 2 lit. a DSG), sowie verbindliche unternehmensinterne Datenschutzregeln, sog. Binding Corporate Rules (nachfolgend „BCR“, vgl. Art. 6 Abs. 2 lit. g DSG). Der EDÖB beschied insbesondere den von der EU Kommission publizierten sog. Standardvertragsklauseln (Standard Contractual Clauses, nachfolgend „SCC“) bis anhin gestützt auf Art. 6 Abs. 3 VDSG die Angemessenheit gemäss Schweizer Datenschutzrecht, was zur Folge hatte, dass ein auf diese Garantie gestützte Datenübermittlung nicht mehr meldepflichtig ist. Die SCC der EU-Kommission werden entsprechend häufig durch Schweizer Unternehmen als Garantie für Datenexporte vereinbart.

Der EuGH hat mit dem Schrems II Urteil aber auch erhöhte Anforderungen an auf SCC gestützte Datentransfers gestellt, da er von Unternehmen hierbei eine einzelfallabhängige Risikoabschätzung verlangt (vgl. MLL-News vom 5.10.2020). Der EDÖB folgt dieser Einschätzung und gibt in seiner Stellungnahme Schweizer Unternehmen praktische Hinweise, was sie beachten müssen, wenn sie SCC für den Datenexport in einen Staat ohne angemessenes Datenschutzniveau vereinbaren:

  1. Sollte sich die Datenbekanntgabe auf vertragliche Garantien wie die SCC i.S.v. Art. 6 Abs. 2 lit. a DSG stützen, ist eine Risikoabschätzung vorzunehmen. Dabei prüft der Exporteur, ob die Klauseln die in dem nicht gelisteten Staat bestehenden datenschutzrechtlichen Risiken abdecken. Gegebenenfalls sind die Klauseln zu ergänzen, wobei solche Ergänzungen im Falle eines Vorrangs des öffentlichen Rechts dieses Staates von beschränkter Wirkung sind, wie nachfolgend ausgeführt wird.
      
  2. Bei der Prüfung der datenschutzrechtlichen Risiken ist insbesondere relevant, ob die Daten an ein Unternehmen des nicht gelisteten Staates geliefert werden, das besonderen Zugriffen der dortigen Behörden unterworfen ist. Weiter ist zu prüfen, ob die ausländische Empfängerpartei berechtigt und in der Lage ist, die zur Durchsetzung der schweizerischen Datenschutzgrundsätze nötige Mitwirkung zu leisten. Muss dies verneint werden, laufen die in den Standardvertragsklauseln vorgesehenen Mitwirkungspflichten ins Leere.
      
  3. Der schweizerische Datenexporteur muss in solchen Fällen technische Massnahmen prüfen, die den Behördenzugriff auf die übermittelten Personendaten im Zielland faktisch verhindern. Bei der Datenhaltung im Sinne eines reinen Cloud-Betriebs durch Dienstleister in einem nicht gelisteten Staat wäre z.B. eine Verschlüsselung denkbar, welche nach den Prinzipien BYOK (bring your own key) und BYOE (bring your own encryption) umgesetzt ist, so dass im Zielland keine Klardaten vorliegen und der Dienstleister keine Möglichkeit hat, die Daten selber aufzuschlüsseln. Bei über die reine Datenhaltung hinausgehenden Dienstleistungen im Zielland gestaltet sich der Einsatz solcher technischen Massnahmen indessen als anspruchsvoll. Soweit solche Massnahmen nicht möglich sind, empfiehlt der EDÖB auf die Übermittlung von Personendaten in den nicht gelisteten Staat gestützt auf vertragliche Garantien zu verzichten.
      

Diese Hinweise bezeichnet der EDÖB auch als relevant für BCR. Er stellt aber weitere Erläuterungen zu Datentransfers in die USA und andere nicht gelistete Drittstaaten in Aussicht. Diese sollen folgen, sobald weitere Erkenntnisse wie einschlägige Entscheide schweizerischer Gerichte oder die angekündigte Stellungnahme des Europäischen Datenschutzausschuss vorliegen.
  

Einschätzung

Wie weiter mit dem Swiss-US Privacy Shield?

Das Swiss-US Privacy Shield ist wie das EU-US Privacy Shield eine direkte Folge des Schrems I Entscheids des EuGH (vgl. MLL-News vom 28. Oktober 2015 sowie MLL-News vom 15. Februar 2017). Es ist daher konsequent, dass der EDÖB das Schrems II Urteil zum Anlass nimmt, den Swiss-U.S. Privacy Shield neu zu beurteilen, auch wenn die Abkommen formell voneinander unabhängig sind.

Trotz aller Parallelen bestehen doch Unterschiede zur Rechtslage in der EU. Mit dem Schrems II Urteil wurde für Verantwortliche im Anwendungsbereich der DSGVO ein Angemessenheitsbeschluss i.S.v. Art. 45 DSGVO aufgehoben, was zum Wegfall einer Rechtsgrundlage des Datentransfers in die USA führte. Der Swiss-US Privacy Shield war selbst nie eine Rechtsgrundlage gemäss schweizerischem Datenschutzrecht, die Datentransfers in die USA ermöglichen konnte. Mit seinen Hinweisen in der Staatenliste äusserte sich der EDÖB nur zur Eignung der Privacy Shield Zertifizierung als Garantie im Sinne von Art. 6 Abs. 2 lit. a DSG. Die Einschätzung des EDÖB zur Angemessenheit dieser Garantie ist – wie die Staatenliste an sich – auch für schweizerische Gerichte unverbindlich, worauf dieser in der besprochenen Stellungnahme explizit hinweist. Die Rechtsprechung zieht die Staatenliste aber zuweilen als einziges und somit massgebliches „Indiz“ heran (siehe z.B. BGE 144 I 126 E. 8.3.6). Wer geltend machen will, dass trotz gegenteiliger Einschätzung des EDÖB ein angemessener Datenschutz im Zielland für die bekanntgegebenen Personendaten besteht, muss dies darlegen können. Trotz ihrer rechtlichen Unverbindlichkeit kommt den Feststellungen des EDÖB in der Praxis also eine erhebliche Bedeutung zu.

Attestiert der EDÖB einer ausländischen Datenschutzgesetzgebung oder einer Garantie die Angemessenheit, kann sich der gutgläubige Verantwortliche hierauf verlassen. Da der EDÖB die Swiss-US Privacy Shield-Zertifizierung nicht mehr als ausreichende Garantie erachtet, sind hierauf gestützte Datentransfers in die USA nicht mehr vermutungsweise erlaubt. Da unwahrscheinlich ist, dass Schweizer Gerichte von der Einschätzung des EDÖB abweichen, sind einzig auf die Swiss-US Privacy Shield Zertifizierung gestützten Datentransfers in die USA zu unterlassen.
  

Vertragliche Garantien

Entsprechend nimmt die Bedeutung von vertraglichen Garantien wie den SCC zu. Mit Schrems II können SCC in der EU nun nicht mehr standardmässig eingesetzt werden (vgl. MLL-News vom 5.10.2020). Der EuGH und ihm folgend der EDÖB verlangt vom Datenexporteur vielmehr eine Einzelfallprüfung ihrer Eignung. Die Anpassung der Staatenliste des EDÖB erzeugt damit bereits jetzt Handlungsbedarf. Schweizer Unternehmen sollten:

  • Evaluieren, ob und welche Personendaten in die USA oder andere Staaten ohne angemessenes Datenschutzniveau exportiert werden.
      
  • Klären, welche Garantien hierbei zur Anwendung kommen, insbesondere ob mit US Datenimporteuren eine Privacy-Shield Zertifizierung und/oder SCC vereinbart wurden. Sofern Personendaten in die USA nur gestützt auf das Privacy Shield übermittelt wurden, muss der US-Datenimporteur kontaktiert und auf die geänderte Einschätzung des EDÖB hingewiesen werden. Der Verantwortliche muss verlangen, dass der Datenexport gestützt auf andere Garantien oder Tatbestände des Art. 6 Abs. 2 DSG erfolgt.
      
  • Gleichzeitig sollte das Risiko eines fortgesetzten Datenexports wie vom EDÖB beschrieben eingeschätzt werden (siehe oben).
     
  • Sofern Unternehmen zum Schluss kommen, dass der Datenempfänger behördlichen Zugriffsrechten unterworfen ist und die bisherigen Garantien daher ins Leere laufen, müssen sie technische oder organisatorische Massnahmen prüfen. Der ausländische Datenempfänger ist anzufragen, ob eine Verschlüsselung der fraglichen Daten oder eine Datenbearbeitung in einem Land mit angemessenen Datenschutzniveau möglich ist.
      

Sollte Letzteres keine Option sein, wird eine fortgesetzte Datenbekanntgabe in die USA gestützt auf eine Privacy Shield Zertifizierung oder SCC ohne Anpassungen das DSG verletzen. Aus der Stellungnahme des EDÖB, wie derjenigen seiner europäischen Kollegen, ergibt sich bisher aber nicht, welche Anpassungen der SCC im Einzelnen vorzunehmen sind (vgl. MLL-News vom 5.10.2020). Mit konkreten Verhandlungen kann zugewartet werden, bis sich der EDSA zum zukünftigen Inhalt von SCC geäussert hat, da auch der EDÖB sich an dieser Stellungnahme orientieren wird. Im Sinne einer second best Lösung ist aber zu empfehlen, nicht notwendige Datenübermittlungen in die USA auszusetzen. Werden SCC hingegen bereits jetzt angepasst, sind dies individuell vereinbarte Datenschutzklauseln, die dem EDÖB vorgängig mitgeteilt werden müssen (Art. 6 Abs. 3 DSG).
  

Ausblick, insbesondere auf das nDSG

Rechtssichere Grundlagen für Datentransfers in die USA könnte ein Nachfolgeabkommen des Privacy Shields schaffen. Die EU Kommission lotet diese Möglichkeit bereits aus, allerdings dürften die Verhandlungen mit den Vereinigten Staaten schwierig werden. Angesichts der hohen Anforderungen, die der EuGH an dieses Abkommen stellt, ist es ungewiss, ob und allenfalls wann ein solches Abkommen zustande kommt (vgl. MLL-News vom 5.10.2020).

Im totalrevidierten Datenschutzgesetz (vgl. dazu z.B. MLL-News vom 25.9.2020) liegt es am Bundesrat festzustellen, ob die Gesetzgebung des betreffenden Staates einen angemessenen Schutz gewährleistet (Art. 16 nDSG). Die geltende Formulierung, wonach auch keine Persönlichkeitsverletzung im Einzelfall drohen dürfe, wird bewusst nicht übernommen, weil dies dem Verantwortlichen eine schwierige Prognose abverlangt. Stattdessen erlässt der Bundesrat – ähnlich wie die EU-Kommission unter der DSGVO – eine Positiv-Liste mit Staaten, die ein angemessenes Datenschutzniveau sicherstellen, in Form einer Verordnung (vgl. Botschaft zum Bundesgesetz über die Totalrevision des DSG).

Hinsichtlich der Prüfung von Garantien für den Datentransfer in Länder ohne angemessenen Datenschutz bleibt der EDÖB dafür zuständig, Standarddatenschutzklauseln anzuerkennen (Art. 16 Abs. 2 lit. d nDSG). Allerdings kann zukünftig der Bundesrat gesetzlich nicht vorgesehene Mechanismen, wie z.B. die Selbstzertifizierung unter dem Privacy Shield, als geeignete Garantien anerkennen (Art. 16 Abs. 3 nDSG). Der Bundesrat und die Vereinigten Staaten hätten es daher unter dem nDSG in der Hand, den bestehenden Swiss-US Privacy Shield als rechtssichere Rechtsgrundlage des grenzüberschreitenden Datentransfers auszugestalten. Es scheint aber wahrscheinlich, dass sich auch der Bundesrat an der Rechtsentwicklung in der EU orientieren wird. Der alleinige Fortbestand des Swiss-US Privacy Shields ist daher fraglich.

Insgesamt dürften die unter dem nDSG vorgesehenen Mechanismen aber für mehr Rechtssicherheit beim grenzüberschreitenden Datenverkehr sorgen, insbesondere weil die Feststellungen zum angemessenen Datenschutzniveau rechtsverbindlich erfolgen. Es ist aber nicht damit zu rechnen, dass der Bundesrat den USA ein angemessenes Datenschutzniveau attestiert. Wird in der EU beim Einsatz von SCC für Datenexporte in Länder ohne angemessenen Datenschutz zudem eine Einzelfallprüfung verlangt, dürfte der EDÖB eine solche auch in der Schweiz verlangen. In diesem Zusammenhang ist daran zu erinnern, dass unter dem revidierten DSG private Personen für eine Verletzung der Sorgfaltspflichten im Zusammenhang mit der Bekanntgabe von Personendaten ins Ausland mit bis zu CHF 250’000.- gebüsst werden können (Art. 61 lit. a nDSG; vgl. dazu MLL-News vom 15. Juni 2020). Schweizer Unternehmen sind daher auch mit Blick auf das revidierte Datenschutzgesetz gut beraten, die notwendigen Anpassungen von vertraglichen Garantien wie den SCC aber auch BCR schon jetzt einzuleiten.

 

Weitere Informationen: