Ist die Übermittlung von Personendaten aus der Schweiz in die USA noch möglich?

Die Stellungnahme des Eidgenössischen Datenschutzbeauftragten zum Privacy Shield-Abkommen zwischen der Schweiz und der USA sorgt für grosses Aufsehen – ein legaler Export von Personendaten aus der Schweiz in die USA scheint auf den ersten Blick kaum mehr realisierbar. Wir erklären Dir, weshalb der EDÖB so entschieden hat und was dies für den künftigen Datenexport von Personendaten in die USA (und in andere Drittstaaten) bedeutet.

Ausgangslage

Am 16. Juli 2020 fällte der Europäische Gerichtshof (EuGH) ein vielbeachtetes Urteil, das das Privacy Shield-Abkommen zwischen der EU und den USA für ungültig erklärte und damit die legale Weitergabe von Daten aus der EU in die USA erheblich erschwerte (VGL. UNSEREN BLOGPOST VOM JULI).
 
Nun hat auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) dazu Stellung bezogen.
 
Er kam zum Schluss, dass auch das Privacy Shield-Abkommen zwischen der Schweiz und den USA keinen ausreichenden Schutz für schweizerische Personendaten bietet, die in die USA übermittelt werden.
 
Selbst die Standardvertragsklauseln, die für die Weitergabe von Personendaten aus der Schweiz in andere Drittstaaten verwendet werden, bieten laut dem EDÖB keinen genügenden Schutz mehr.
 
Was bedeutet dies für Deinen Datenexport in die USA und andere Drittstaaten?

 

Die Schweiz entscheidet doch unabhängig von der EU über die Zulässigkeit von Datenübermittlungen in die USA…

 
Dies stimmt nur zum Teil. Aufgrund von sogenannten «Angemessenheitsbeschlüssen», die die EU und die Schweiz gefällt haben, ist die Weitergabe von Personendaten zwischen der Schweiz und der EU heute ohne besondere Schutzmassnahmen möglich. Damit haben die Schweiz und die EU-Staaten gegenseitig anerkannt, dass ihre Gesetzgebung ein angemessenes Datenschutzniveau gewährleistet.
 
Weitere Angemessenheitsbeschlüsse wurden unter anderem gefällt für Argentinien, Kanada, Neuseeland und Uruguay (vgl. die Länderliste des EDÖB HIER). Erachtet die EU das Schutzniveau in einem dieser Staaten als nicht mehr erfüllt, wird die Schweiz das Schutzniveau des betroffenen Staates ebenfalls neu evaluieren. Ansonsten könnte ein EU-Unternehmen die Schutzvorschriften umgehen, indem es Daten auf einem Umweg durch die Schweiz an diesen betroffenen Staat weitergibt.
 
Aus diesem Grund hat der EDÖB die Datenschutzgesetzgebung der USA ebenfalls neu beurteilt.
 

Rechtmässiger Datenexport von Personendaten ins Ausland

Gemäss Art. 6 des (noch gültigen) Datenschutzgesetzes dürfen Personendaten mangels eines angemessenen Schutzniveaus im betreffenden Staat unter anderem dann weitergegeben werden, wenn:
 

  • die Einwilligung der betroffenen Person vorliegt; 

  • die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und es sich um Personendaten des Vertragspartners handelt; oder

  • hinreichende Garantien (bspw. in einem Vertrag) einen angemessenen Schutz im Ausland gewährleisten.

 
Das neue Datenschutzgesetz, das voraussichtlich im Jahr 2021 in Kraft tritt, sieht in Art. 13 E-DSG ähnliche Voraussetzungen vor.
 

Datenexport in die USA

Betroffene Personen, deren Daten in die USA exportiert wurden, können ihre Rechtsansprüche – bspw. den Schutz vor Missbrauch ihrer persönlichen Daten – in den USA nur beschränkt durchsetzen.
 
Dies liegt daran, dass US-Nachrichtendienst sogenannte Massenerhebungen der Daten von Nicht-US Bürgern vornehmen darf, wenn dies dem Zweck der Terrorbekämpfung oder dem Erhalt der nationalen Sicherheit dient. Die US-Ombudsstelle, die den betroffenen Personen bei ihrer Rechtsdurchsetzung gegen die US-Geheimdienste behilflich sein soll, verfügt nicht über die notwendige Unabhängigkeit und Entscheidungskompetenz.
 
Diese Umstände wurden vom EDÖB bereits früher gerügt. Die USA sind nicht auf diese Beanstandungen eingegangen. Als Folge wurde nun auch das Privacy-Shield-Abkommen zwischen der Schweiz und den USA gekippt.
 

Ich gebe Personendaten an ein US-Unternehmen weiter, welches dem Privacy-Shield Abkommen zwischen der Schweiz in der USA beigetreten ist – Was muss ich nun unternehmen?

 Der Datenexport aus der Schweiz in die USA ist heute nicht per se unzulässig.
 
Bei einem Datenexport in die USA trägst Du als schweizerischer Datenexporteur allerdings jetzt zusätzliche Sorgfaltspflichten.
 
Du musst nun eine sogenannte Risikoabschätzung vornehmen. Verwendest Du die von der EU verabschiedeten STANDARDVERTRAGSKLAUSELN oder den MUSTERVERTRAG DES EDÖB FÜR DAS OUTSOURCING, musst Du prüfen, ob die Vertragsklauseln die datenschutzrechtlichen Risiken in den USA tatsächlich abdecken.
 
Fällt der Datenimporteur, also das Empfängerunternehmen in den USA, unter die US-Massenüberwachungsgesetze und kann er sich dagegen nicht entsprechend zu Wehr setzen, so musst Du zusätzliche technische Massnahmen ergreifen, um die übermittelten Personendaten unkenntlich zu machen (bspw. durch Verschlüsselung vor der Datenübermittlung).
 
Durch solche technischen Massnahmen soll sichergestellt werden, dass die US-Geheimdienste die Daten nicht mehr lesen können, selbst wenn sie Zugriff darauf erhalten.
 
Ist diese Massnahme zu aufwändig, soll gemäss den Empfehlungen des EDÖB von einer Übermittlung der Daten abgesehen werden.
 

Ich habe mit einem Anbieter in einem Drittland Standartvertragsklauseln oder den Mustervertrag des EDÖB abgeschlossen – Was muss ich nun unternehmen?

Standardvertragsklauseln boten Dir bisher eine zusätzliche Absicherung für die Übermittlung von Personendaten in einen Drittstaat ohne ausreichendes Datenschutzniveau, indem sie dem Datenempfänger weitreichende Datenschutzpflichten auferlegten.
 
Wie oben beschrieben, reichen diese Standardvertragsklauseln nicht mehr aus, um Dich datenschutzrechtlich abzusichern. Auch hier musst Du eine Risikoabschätzung vornehmen und allenfalls weitere technische Massnahmen implementieren.
 

Fazit

Viele Schweizer Firmen stehen nun vor der Herausforderung, Risikoeinschätzungen für ihre Datenübermittlungen in Drittstaaten vorzunehmen.
 
Im Zweifelsfall empfehlen wir, die Daten entweder in ein Land mit ausreichend Datensicherheit (vgl. die Länderliste des EDÖB HIER) weiterzugeben oder die Daten vor der Übermittlung zu verschlüsseln (bspw. mittels der Prinzipien Bring your own key oder Bring your own encryption).
 
Gerne stehen wir Dir bei der Überprüfung Deiner Datenschutzprozesse oder bei der Durchführung einer Risikoanalyse zur Verfügung.

Mehr Informationen zum Thema Datenschutz.

IT- und Technologierecht

Rechtsstreitigkeiten in der IT: Tipps für Unternehmen zur Risikominimierung

Arbeitsrecht

Die verschiedenen Arbeitszeitmodelle im Überblick

IT- und Technologierecht

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

optional
optional
optional