Neues Swiss-US Privacy Shield


Am 11.
Januar 2017 hat der schweizerische Bundesrat von der Einigung zu einer neuen Vereinbarung betreffend Datentransfer in die USA Kenntnis genommen (vgl. EDÖB vom 11. Januar 2017: Swiss-US Privacy Shield: neuer Rahmen für Datenübermittlungen in die USA). Das Swiss-US Privacy Shield ersetzt das Safe Harbor Framework, welches am 22. Oktober 2015 vom Schweizerischen Datenschutz- und Öffentlichkeitsbeauftragten (“EDÖB”) für ungenügend erklärt wurde (vgl. BR-News vom 28. Oktober 2015).

 

Swiss-US Privacy Shield: Gleiche Standards wie in der EU

Die Schweiz ist kein EU-Mitgliedsland. Das EU-US Privacy Shield, das am 12. Juli 2016 von der EU-Kommission verabschiedet wurde (vgl. BR-News vom 25. Juli 2016), ist nicht auf den Datentransfer von der Schweiz in die USA anwendbar.

Ohne eine vergleichbare Regelung für Datentransfers von der Schweiz in die USA wären schweizerische Unternehmen, welche mit US-Unternehmen geschäftlich Personendaten austauschen, gegenüber ihren Konkurrenten aus der EU benachteiligt. Es war immer klar, dass sich die Schweiz ebenfalls um ein neues Privacy Shield mit den USA bemühen muss.

Es war naheliegend, dass sich das Swiss-US Privacy Shield inhaltlich am EU-US Privacy Shield ausrichten wird.

Mit dem neuen Swiss-US Privacy Shield gelten für schweizerische Unternehmen beim Transfer von Personendaten in die USA vergleichbare Standards wie in der EU. Dies sorgt für gleich lange Spiesse im Wettbewerb und für Rechtssicherheit. Nachdem der EDÖB das frühere Safe Harbor Framework für nicht ausreichend erklärte, herrschte eine gewisse Unsicherheit betreffend die Anforderungen an den Datenaustausch mit US-Unternehmen (vgl. BR-News vom 28. Oktober 2015).

 

Zufriedenheit beim EDÖB

Der EDÖB hat das ausgehandelte Swiss-US Privacy Shield mit Zufriedenheit zur Kenntnis genommen (vgl. EDÖB vom 11. Januar 2017: Swiss-US Privacy Shield: neuer Rahmen für Datenübermittlungen in die USA). Der EDÖB hat bereits mitgeteilt, dass das Datenschutzniveau in den USA – zumindest für zertifizierte Unternehmen – mit dem Privacy Shield im Sinne von Art. 6 DSG als angemessen zu qualifizieren ist. Der EDÖB hat die Liste mit den Staaten, welche über ein angemessenes Datenschutzniveau verfügen, entsprechend angepasst.

Dieser Angemessenheitsentscheid gilt allerdings, wie erwähnt, nur für Datentransfers an US-Unternehmen, welche sich nach dem neuen Privacy Shield zertifiziert haben.

Der EDÖB hat explizit festgehalten, dass er die Umsetzung des Privacy Shield in den USA laufend beobachten werde. Diesbezüglich ist darauf hinzuweisen, dass einzelne Regelungen des Privacy Shield auf Seiten der USA durch sog. Presidential Orders implementiert wurden. Diese Presidential Orders wurden noch durch die Obama-Administration in Kraft gesetzt. Die neue Administration hätte die Kompetenz, diese Order ausser Kraft zu setzen oder abzuändern.

 

Verbesserungen im Vergleich zu Safe Harbor

Inhaltlich orientiert sich das Swiss-US Privacy Shield an den Regelungen im EU-US Privacy Shield. Die Regelungen sind zwar nicht identisch, doch kann für den Inhalt gleichwohl auf unsere Zusammenfassung des EU-US Privacy Shields verwiesen werden (vgl.  BR-News vom 18. April 2016 und  BR-News vom 25. Juli 2016).

Im Vergleich zum ehemaligen Safe Harbor Framework sind insbesondere die folgenden Verbesserungen hervorzuheben:

  • Verstärkung der Anwendung der Datenschutzprinzipien (Katalog mit Datenbearbeitungsgrundsätzen);
  • Verbesserung und Verstärkung der Überwachung durch die US-Behörden;
  • Auskunftsrechte von betroffenen Schweizer Personen bei den zertifizierten US-Unternehmen bzw. den für die Überwachung zuständigen Behörden;
  • Ombudsmechanismus betreffend die Bearbeitung von Personendaten durch die US-Sicherheitsbehörden;
  • Intensivierung der Zusammenarbeit zwischen dem US-Department of Commerce (DOC) und dem EDÖB (EDÖB wird Anlaufstelle für die betroffenen Personen bei Problemen im Zusammenhang mit Datentransfers in die USA sein).

Die finalisierten Swiss-US Privacy Shield Dokumente wurden am 12. Januar 2017 veröffentlicht.

 

Zeitplan für das Privacy Shield

Interessierte US-Unternehmen können ab dem 12. April 2017 mit dem Zertifizierungsprozess beginnen.

Das DOC wird auf seiner Webseite eine Liste mit den zertifizierten Unternehmen aufschalten. Der EDÖB wird auf seiner Webseite einen Link auf diese Liste integrieren.

 

Weitere Informationen: