Ist die Übermittlung von Personendaten aus der Schweiz in die USA noch möglich?

Die Stellungnahme des Eidgenössischen Datenschutzbeauftragten zum Privacy Shield-Abkommen zwischen der Schweiz und der USA sorgt für grosses Aufsehen – ein legaler Export von Personendaten aus der Schweiz in die USA scheint auf den ersten Blick kaum mehr realisierbar. Wir erklären Dir, weshalb der EDÖB so entschieden hat und was dies für den künftigen Datenexport von Personendaten in die USA (und in andere Drittstaaten) bedeutet.

Ausgangslage

Am 16. Juli 2020 fällte der Europäische Gerichtshof (EuGH) ein vielbeachtetes Urteil, das das Privacy Shield-Abkommen zwischen der EU und den USA für ungültig erklärte und damit die legale Weitergabe von Daten aus der EU in die USA erheblich erschwerte (VGL. UNSEREN BLOGPOST VOM JULI).
 
Nun hat auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) dazu Stellung bezogen.
 
Er kam zum Schluss, dass auch das Privacy Shield-Abkommen zwischen der Schweiz und den USA keinen ausreichenden Schutz für schweizerische Personendaten bietet, die in die USA übermittelt werden.
 
Selbst die Standardvertragsklauseln, die für die Weitergabe von Personendaten aus der Schweiz in andere Drittstaaten verwendet werden, bieten laut dem EDÖB keinen genügenden Schutz mehr.
 
Was bedeutet dies für Deinen Datenexport in die USA und andere Drittstaaten?

 

Die Schweiz entscheidet doch unabhängig von der EU über die Zulässigkeit von Datenübermittlungen in die USA…

 
Dies stimmt nur zum Teil. Aufgrund von sogenannten «Angemessenheitsbeschlüssen», die die EU und die Schweiz gefällt haben, ist die Weitergabe von Personendaten zwischen der Schweiz und der EU heute ohne besondere Schutzmassnahmen möglich. Damit haben die Schweiz und die EU-Staaten gegenseitig anerkannt, dass ihre Gesetzgebung ein angemessenes Datenschutzniveau gewährleistet.
 
Weitere Angemessenheitsbeschlüsse wurden unter anderem gefällt für Argentinien, Kanada, Neuseeland und Uruguay (vgl. die Länderliste des EDÖB HIER). Erachtet die EU das Schutzniveau in einem dieser Staaten als nicht mehr erfüllt, wird die Schweiz das Schutzniveau des betroffenen Staates ebenfalls neu evaluieren. Ansonsten könnte ein EU-Unternehmen die Schutzvorschriften umgehen, indem es Daten auf einem Umweg durch die Schweiz an diesen betroffenen Staat weitergibt.
 
Aus diesem Grund hat der EDÖB die Datenschutzgesetzgebung der USA ebenfalls neu beurteilt.
 

Rechtmässiger Datenexport von Personendaten ins Ausland

Gemäss Art. 6 des (noch gültigen) Datenschutzgesetzes dürfen Personendaten mangels eines angemessenen Schutzniveaus im betreffenden Staat unter anderem dann weitergegeben werden, wenn:
 

  • die Einwilligung der betroffenen Person vorliegt; 

  • die Bearbeitung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht und es sich um Personendaten des Vertragspartners handelt; oder

  • hinreichende Garantien (bspw. in einem Vertrag) einen angemessenen Schutz im Ausland gewährleisten.

 
Das neue Datenschutzgesetz, das voraussichtlich im Jahr 2021 in Kraft tritt, sieht in Art. 13 E-DSG ähnliche Voraussetzungen vor.
 

Datenexport in die USA

Betroffene Personen, deren Daten in die USA exportiert wurden, können ihre Rechtsansprüche – bspw. den Schutz vor Missbrauch ihrer persönlichen Daten – in den USA nur beschränkt durchsetzen.
 
Dies liegt daran, dass US-Nachrichtendienst sogenannte Massenerhebungen der Daten von Nicht-US Bürgern vornehmen darf, wenn dies dem Zweck der Terrorbekämpfung oder dem Erhalt der nationalen Sicherheit dient. Die US-Ombudsstelle, die den betroffenen Personen bei ihrer Rechtsdurchsetzung gegen die US-Geheimdienste behilflich sein soll, verfügt nicht über die notwendige Unabhängigkeit und Entscheidungskompetenz.
 
Diese Umstände wurden vom EDÖB bereits früher gerügt. Die USA sind nicht auf diese Beanstandungen eingegangen. Als Folge wurde nun auch das Privacy-Shield-Abkommen zwischen der Schweiz und den USA gekippt.
 

Ich gebe Personendaten an ein US-Unternehmen weiter, welches dem Privacy-Shield Abkommen zwischen der Schweiz in der USA beigetreten ist – Was muss ich nun unternehmen?

 Der Datenexport aus der Schweiz in die USA ist heute nicht per se unzulässig.
 
Bei einem Datenexport in die USA trägst Du als schweizerischer Datenexporteur allerdings jetzt zusätzliche Sorgfaltspflichten.
 
Du musst nun eine sogenannte Risikoabschätzung vornehmen. Verwendest Du die von der EU verabschiedeten STANDARDVERTRAGSKLAUSELN oder den MUSTERVERTRAG DES EDÖB FÜR DAS OUTSOURCING, musst Du prüfen, ob die Vertragsklauseln die datenschutzrechtlichen Risiken in den USA tatsächlich abdecken.
 
Fällt der Datenimporteur, also das Empfängerunternehmen in den USA, unter die US-Massenüberwachungsgesetze und kann er sich dagegen nicht entsprechend zu Wehr setzen, so musst Du zusätzliche technische Massnahmen ergreifen, um die übermittelten Personendaten unkenntlich zu machen (bspw. durch Verschlüsselung vor der Datenübermittlung).
 
Durch solche technischen Massnahmen soll sichergestellt werden, dass die US-Geheimdienste die Daten nicht mehr lesen können, selbst wenn sie Zugriff darauf erhalten.
 
Ist diese Massnahme zu aufwändig, soll gemäss den Empfehlungen des EDÖB von einer Übermittlung der Daten abgesehen werden.
 

Ich habe mit einem Anbieter in einem Drittland Standartvertragsklauseln oder den Mustervertrag des EDÖB abgeschlossen – Was muss ich nun unternehmen?

Standardvertragsklauseln boten Dir bisher eine zusätzliche Absicherung für die Übermittlung von Personendaten in einen Drittstaat ohne ausreichendes Datenschutzniveau, indem sie dem Datenempfänger weitreichende Datenschutzpflichten auferlegten.
 
Wie oben beschrieben, reichen diese Standardvertragsklauseln nicht mehr aus, um Dich datenschutzrechtlich abzusichern. Auch hier musst Du eine Risikoabschätzung vornehmen und allenfalls weitere technische Massnahmen implementieren.
 

Fazit

Viele Schweizer Firmen stehen nun vor der Herausforderung, Risikoeinschätzungen für ihre Datenübermittlungen in Drittstaaten vorzunehmen.
 
Im Zweifelsfall empfehlen wir, die Daten entweder in ein Land mit ausreichend Datensicherheit (vgl. die Länderliste des EDÖB HIER) weiterzugeben oder die Daten vor der Übermittlung zu verschlüsseln (bspw. mittels der Prinzipien Bring your own key oder Bring your own encryption).
 
Gerne stehen wir Dir bei der Überprüfung Deiner Datenschutzprozesse oder bei der Durchführung einer Risikoanalyse zur Verfügung.

Mehr Informationen zum Thema Datenschutz.

Fachbeiträge

ChatGPT am Arbeitsplatz – was muss ich dabei beachten?

Datenschutz

Swisscom beendet Webhosting-Dienste: Was betroffene Unternehmen jetzt tun sollten

Arbeitsrecht

Das nachvertragliche Konkurrenzverbot; wie musst Du vorgehen und was solltest Du vermeiden?

Datenschutz

Wie sind KI-Bilder zu nutzen?

Baurecht

Das Bauhandwerkerpfandrecht

Fachbeiträge

Das neue Erbrecht 2023: Was ändert sich?

Am 1. Januar 2023 ist das neue Erbrecht in Kraft getreten. Massgebend für das anwendbare Recht ist nicht das Errichtungsdatum einer letztwilligen Verfügung, sondern der Tod des Erblassers. Die neuen Regelungen gelten daher für sämtliche Erblasser, welche nach dem 31. Dezember 2022 verstorben sind. Damit kommen die neuen Regelungen auch zur Anwendung auf bereits verfasste letztwillige Verfügungen und diese bedürfen allenfalls einer Anpassung, denn mit dem neuen Recht verfügt der Erblasser über einen grösseren Handlungsspielraum hinsichtlich seines Nachlasses. In diesem Beitrag sollen die wichtigsten Änderungen und deren Auswirkungen festgehalten werden.

optional
optional
optional