Safe Harbor Abkommen EuGH

UPDATE: Safe Harbor ist auch in der Schweiz nicht mehr ausreichend – zusätzliche Massnahmen notwendig


Ihr Kontakt

Der Eidgenössische Datenschutzbeauftragte (EDÖB) hat mit Mitteilung vom 22. Oktober 2015 festgehalten, dass das CH-USA Safe Harbor-Regelwerk für den Datenaustausch mit US-Unternehmen nicht mehr ausreichend ist. Der EDÖB verlangt von allen Unternehmen, welche Daten in die USA transferieren und sich dabei ausschliesslich auf Safe Harbor abstützen, zusätzliche datenschutzrechtliche Massnahmen. Diese Massnahmen müssen gemäss EDÖB bis Ende Januar 2016 umgesetzt werden. Im nachfolgenden wird beschrieben, was Safe Harbor ist, welche Massnahmen vom EDÖB verlangt werden und inwiefern Unternehmen nun aktiv werden müssen.

Auswirkungen des EuGH-Urteils auf die Schweiz

Viel wurde in den letzten Tagen über das Safe Harbor-Urteil des Europäischen Gerichtshofes (EuGH) und dessen Implikationen für Datenbearbeiter in der Schweiz diskutiert (eine Zusammenfassung des Urteils finden Sie in unseren Beitrag „EuGH erklärt Safe Harbor-Regelung mit USA für ungültig“ vom 8. Oktober 2015 (BR-News vom 8. Oktober 2015).

Bei Safe Harbor geht es um eine Rahmenvereinbarung zwischen den USA und der EU, in welcher verschiedene Prinzipien zur Bearbeitung von Personendaten festgelegt wurden. Die Safe Harbor-Zertifizierung erlaubte den erleichterten Transfer von Personendaten aus der EU zum zertifizierten US-Unternehmen. Die Schweiz hat mit den USA ein vergleichbares Safe Harbor-Regelwerk wie die EU abgeschlossen. Es war daher umstritten, ob das EuGH-Urteil Auswirkungen auf die Schweiz haben wird.

Der EDÖB hat diese Frage in einer Mitteilung vom 22. Oktober 2015 geklärt und Stellung zur weiteren Gültigkeit des CH-USA Safe Harbor-Regelwerk genommen. Gemäss EDÖB bildet das CH-USA Safe Harbor-Regelwerk für den Transfer von Personendaten aus der Schweiz in die USA keine ausreichende Rechtsgrundlage mehr.

Der EDÖB empfiehlt folgende datenschutzrechtliche Massnahmen

Obwohl der EDÖB offensichtlich durch die Mitteilung der Working Party 29 zu einer eigenen Stellungnahme veranlasst wurde, geht er einen eigenen (Mittel) Weg. Bedauerlicherweise sind die Stellungnahme des EDÖB sowie die darin geforderten Massnahmen ihrerseits nicht vollständig klar und mit Unsicherheiten behaftet.

Der EDÖB verlangt in seiner Mitteilung vom 22. Oktober 2015, dass beim Datenaustausch mit US-Unternehmen vertragliche Garantien im Sinne des Datenschutzgesetzes zu vereinbaren sind. Bei diesen vertraglichen Garantien sind insbesondere folgende Punkte zu berücksichtigen:

  • Personen, deren Daten in die USA übermittelt werden, müssen klar und umfassend über die möglichen Behördenzugriffe informiert werden, damit sie ihre Rechte wahrnehmen können. Der Vertrag zum Austausch von Personendaten sollte die beteiligten Parteien dahingehend verpflichten.
  • Die Parteien müssen sich verpflichten, betroffenen Personen die für einen wirksamen Rechtsschutz notwendigen Behelfe zur Verfügung zu stellen, entsprechende Verfahren tatsächlich durchzuführen und darauf ergehende Urteile zu akzeptieren.

Der EDÖB verlangt von den betroffenen Unternehmen, die notwendigen vertraglichen Anpassungen bis Ende Januar 2016 vorzunehmen.

In seither verfassten Newslettern durch andere Datenschutzexperten wird insbesondere darüber gestritten, ob der erste der vorangehend dargestellten Bullet Points dazu führt, dass die Unternehmen eine entsprechende aktive Information der betroffenen Personen nachholen müssen und falls ja, wie diese Information auszusehen hätte. Die Verankerung der Informationspflicht in einem Datentransfervertrag alleine hilft ja den betroffenen Personen nichts. Damit sie, wie dies der EDÖB verlangt, ihre Rechte wahrnehmen können, müssen die betroffenen Personen direkt informiert werden.

Klar ist dagegen aufgrund der Stellungnahme des EDÖB, dass auch diejenigen Unternehmen, welche bereits heute mit US-Unternehmen Daten austauschen (z.B. Personendaten auf von US-Unternehmen betriebenen Servern speichern oder mit US-Cloudanbietern zusammenarbeiten), zu Massnahmen gezwungen sind, sofern der Datenaustausch ausschliesslich gestützt auf Safe Harbor erfolgte.

Was müssen Unternehmungen nun konkret tun? Unsere Empfehlungen

Um voreilige Massnahmen zu vermeiden, empfehlen wir folgendes, schrittweises Vorgehen:

  • Überprüfung, ob Ihr Unternehmen Personendaten in die USA transferiert (z.B. zur Speicherung auf zentralen Servern). Wenn Ihr Unternehmen z.B. das Data Hosting an einen US-Anbieter ausgelagert hat, ist bei diesem Anbieter nachzufragen, wo die Server stehen, auf welchen Ihre Daten gespeichert sind. Einer näheren Überprüfung bedarf es auch, wenn Daten zwar nicht auf einem Server in den USA gespeichert sind, aber Unternehmen (z.B. Gruppengesellschaften) auf diese Daten von den USA aus Zugriff haben.
  • Werden Personendaten in den USA gespeichert oder haben Unternehmen von den USA aus Zugriff auf Personendaten, ist zu prüfen, auf welcher datenschutzrechtlichen Grundlage diese Transfers in die USA oder Zugriffe aus den USA erfolgen. Zu denken ist z.B. an das erwähnte Safe Harbor-Regelwerk, an Data Processing Agreements wie z.B. die EU Standardklauseln oder konzernweite Data Privacy Policies.
  • Falls die vorangehenden Abklärungen zeigen, dass Personendaten ausschliesslich gestützt auf das Safe Harbor-Regelwerk ausgetauscht wurden, sind vertragliche Garantien zu vereinbaren.
  • Falls die Abklärungen zeigen, dass der Personendaten bereits heute aufgrund einer vertraglichen Vereinbarung ausgetauscht wurden, ist zu prüfen, ob diese vertraglichen Garantien den obgenannten Anforderungen des EDÖB genügen.
  • Zu prüfen ist schliesslich, ob und auf welche Weise die betroffenen Personen über den Datenaustausch in die USA informiert wurden. Der EDÖB verlangt – allerdings unklar – , dass die betroffenen Personen klar und umfassend darüber informiert werden, dass die US-Behörden auf die Personendaten zugreifen können. Wir gehen davon aus, dass während der Phase, in welcher die Unternehmen den bisherigen Datenaustausch mit den USA prüfen, der EDÖB allenfalls noch Klarstellungen publizieren wird. Gleichwohl sollte die Frage der bisherigen Information der betroffenen Personen in der Überprüfungsphase miteinbezogen werden.

Bei neuen Projekten, die zu einem Transfer von Personendaten in die USA führen, müssen die Massnahmen gemäss EDÖB bereits zu Beginn des Projektes berücksichtigt werden.

Weitere Informationen:

Ansprechpartner: Lukas Bühlmann oder Michael Reinle


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.