Rechtsberatung & Risikomanagement
für Unternehmer, KMU und Startups

Einleitung

Mit Urteil C-311/18 vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) den Privacy Shield zwischen der EU und den USA per sofort für unwirksam erklärt.[1] Das EuGH als oberste europäische Gerichtsinstanz begründete die Ungültigkeit es EU-US Privacy Shields mit den umfassenden Überwachungsmöglichkeiten insbesondere durch US amerikanische Geheimdienste bei gleichzeitig völlig unzureichenden Rechtsbehelfen für in der EU ansässige betroffene Personen. Damit entfällt die Grundlage für die Übermittlung von Personendaten aus Europa in die USA. Anders ausgedrückt ist die Übermittlung personenbezogener Daten in die USA nicht mehr rechtmässig und stellt einen Verstoss gegen die DSGVO dar, das mit einem (schmerzhaften bis existenzgefährdenden) Bussgeld geahndet werden kann. Im Endergebnis dürften nämlich nach diesem Urteil die meisten amerikanischen IT-Dienste nicht mehr für die Datenverarbeitung von Personen im EU-Raum bzw. im EWR eingesetzt werden; dies bedeutet wiederum, dass Unternehmen im EWR auf einen nicht unwesentlichen Teil ihrer IT-Infrastruktur verzichten müssten.

Das EuGH-Urteil ist zwar für die Schweiz rechtlich nicht verbindlich, zeitigt aber dennoch erhebliche und direkte Auswirkungen für Unternehmen in der Schweiz, welche der DSGVO unterstehen. Davon sind jedoch indirekt auch Schweizer Unternehmen betroffen, welche ausschliesslich dem schweizerischen Bundesgesetz über den Datenschutz vom 19. Juni 1992 (DSG, SR 235.1) unterstehen, denn gestützt darauf hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter EDÖB am 8. September 2020 in seiner Länderliste die USA bezüglich der Angemessenheit des Datenschutzes, besondere Schutzrechte mit der « Letztere genügen den Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht» angepasst.[2]

Im Folgenden Beitrag werden die Folgen dieses Urteils auf Schweizer Unternehmen beleuchtet, welche der DSGVO unterstehen, sowie der Anpassung der Länderliste auf denen, worauf ausschliesslich das DSG anwendbar ist. Anschliessend werden Handlungsempfehlungen vorgeschlagen.

I. Vorgeschichte

1. In der EU bzw. dem EWR

Bis im Jahr 2015 unterstand die Übermittlung von europäischen Personendaten in die USA der Safe Harbor-Regelung. Nach dieser Regelung durften Personendaten aus der EU in andere Länderwie wie die USA, übermittelt werden, wenn dort ein «angemessenes Datenschutzniveau» gewährleistet wurde. Bis zum Urteil des EuGH C-362/14 vom 6. Oktober 2015, in welchem die Safe Harbor-Regelung mit den USA für ungültig erklärt und kurz darauf mit dem Privacy Shield ersetzt wurde, galt die Safe Harbor-Regelung zwischen der EU und den USA in datenschutzrechtlicher Hinsicht als rechtsgenüglich.

Hintergrund der Ungültigkeitserklärung der Safe Harbor-Regelung zwischen der EU und den USA war ein Rechtsstreit zwischen einem österreichischen Jura-Student und Facebook in Irland im Zusammenhang mit den Enthüllungen des Whistleblowers Edward Snowden zur globalen Massenüberwachung durch U.S. amerikanische Geheimdienste. Der EuGH beurteilte zum einen, dass der Rechtsschutz in Bezug auf Personendaten ungenügend sei. Zum anderen würde die Safe Harbor-Regelung die anlass- und verdachtslose Massenüberwachung in den USA nicht verhindern.

Nach Art. 4 Ziff. 1 DSGV dürfen Personendaten nur an Drittländer (die Schweiz gilt übrigens auch als Drittland) übermittelt werden, wenn in diesem Drittland ein angemessener Datenschutz gewährleistet ist. Die EU-Kommission stellte für die USA einen angemessenen Datenschutz unter der Bedingung fest, dass sich die amerikanischen Bearbeiter von europäischen Personendaten dem EU-US Privacy Shield zu unterwerfen hätten. Die betreffenden amerikanischen Unternehmen verpflichteten sich damit freiwillig – und bestätigt durch ein entsprechendes Zertifikat – einen angemessenen Datenschutz nach europäischen Standards zu gewährleisten. Dem diente der als Abkommen zwischen der EU und den USA abgeschlossene Privacy Shield, welches das EuGH per 16. Juli 2020 als ungültig erklärt hat.

2. In der Schweiz

Auf der Grundlage von Art. 7 der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG, SR 235.11) führt der EDÖB eine jährlich zu überprüfende Liste von Staaten über die Angemessenheit des von diesen Ländern gewährleisteten Datenschutzes im Sinne von Art. 6 DSG[3].

Der EDÖB berücksichtigt dabei die «Gesetzgebung und deren praktische Umsetzung durch die Staaten sowie deren Beurteilung durch Lehre und Rechtsprechung» sowie «datenschutzrechtliche Konventionen, Publikationen, Stellungnahmen und Beschlüsse in- und ausländischer Institutionen und Behörden zur Gelichwertigkeit oder Angemessenheit des von anderen Staaten oder internationalen Organisationen gewährleisteten Datenschutzniveaus»[4].

In Anwendung dieser Vorschriften hat der EDBÖ am 8. September 2020 unter Berücksichtigung des Urteils des EuGH C-311/18 vom 16. Juli 2020 das CH-US Privacy Shield auf die Angemessenheit des Datenschutzes in den USA für den Transfer von Personendaten aus der Schweiz in den Vereinigten Staaten von Amerika und deren Schutzmassnahmen überprüft. Den Erwägungen des EuGHs folgend hat der EDÖB die Staatenliste bezüglich den USA dahingehend geändert, als der darin enthaltene Verweis ergänzt (fett hervorgehoben) wurde: «Datenbearbeiter, die in Bezug auf Personendaten, welche aus der Schweiz stammen, dem Regime Privacy Shield zwischen den USA und der Schweiz betreiben und auf der Liste des U.S. Department of Commerce verzeichnet sind, gewähren in der Schweiz besondere Schutzrechte. Letztere genügen den Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht»[5]. Im Endeffekt heisst dies, dass die Grundsätze der rechtmässigen Datenverarbeitung nach DSG verletzt sind.

II. Folgen für Unternehmen in der Schweiz

1. Für Unternehmen, die der DSGVO unterstehen

Nach Art. 3 DSGVO wird das europäische Datenschutzrecht und die darauf gestützte Rechtsprechung von den Behörden und Gerichten der EU bzw. des EWRs gegenüber Schweizer Unternehmen angewendet, wenn letztere Daten von in der EU bzw. im EWR ansässige Personen verarbeiten. Schweizerische Unternehmen müssen daher davon ausgehen, dass diese europäischen Behörden und Gerichte von ihnen unter Bussenandrohung verlangen könnten, dass sie sich beim Export von Personendaten in die USA an die Vorgaben des EU-Rechts zu halten.

1.1. Verbot der Datenübermittlung in die USA

Das EuGH-Urteil C-311/18 führt im Endergebnis dazu, dass Unternehmen, welche Daten von Personen aus dem EU-Raum bzw. EWR verarbeiten, ab dem 16. Juli 2020 keine Personendaten in die USA übermitteln dürfen. Dies bedeutet letztlich, dass keine US-Dienste wie Software-Anwendungen, Hosting-Server, Webservices, Clouds mehr verwenden dürfen.

Die Folgen sind weitreichend: Verträge müssen überarbeitet werden, es müssen alternative (IT-) Anwendungen gefunden werden und die Personen, deren Daten verarbeitet werden informiert werden.

1.2. Risiken bei der weiteren Nutzung von US-Diensten

Unternehmen, die weiterhin US-Dienste nutzen, drohen Massnahmen beginnend bestenfalls mit Abmahnungen von betroffenen Personen, von Konkurrenten und von Konsumentenschutzorganisationen bis hin zu Sanktionen von Datenschutz-Aufsichtsbehörden. Für Unternehmen in der Schweiz, welche der DSGVO ganz oder teilweise unterstehen dürften vor allem vertragliche Risiken drohen. Vertragspartner könnten gegen Unternehmen in der Schweiz vorgehen, wenn diese nicht in der Lage sind, einen angemessenen Datenschutz zu gewährleisten, weil sie amerikanische Dienste einsetzen.

Während mit Abmahnungen von betroffenen Personen, Konkurrenten sowie Konsumentenschutzorganisationen zeitnah zu rechnen ist, dürfte bei Datenschutzaufsichtsbehörden zumindest vorläufig eine gewisse Zurückhaltung zu erwarten sein: Die Abhängigkeit der vermutlich überwiegenden Mehrzahl von Unternehmen von US-Diensten (man denke bspw. nur wie viele Microsoft-Dienste benutzen) und die kaum verfügbaren Alternativen in der EU (wie z.B. Server, Software und sonstige Dienste anstelle von Zoom, TeamViewer u.a.m.) dürften nämlich auch den europäischen Behörden hinlänglich bekannt sein. Es darf daher m.E. angenommen werden, dass sich auch die EU-Behörden bewusst sind, dass eine sofortige Anpassung der IT-Landschaft an den Vorgaben des EuGH-Urteils mangels Alternativen, aus praktikabilitäts- und letztlich wirtschaftlichen Gründen kaum Umsetzbar ist. Wie lange allerdings diese Zurückhaltung andauern wird, kann nicht gesagt werden.

2. Für Unternehmen, die ausschliesslich dem DSG unterstehen

Wie in Punkt I. 2 erwähnt, bedeutet die Einschätzung des Datenschutzes in den USA durch den EBÖB vom 8. September 2020 als unangemessen, dass die Grundsätze der rechtmässigen Datenverarbeitung i.S.v. Art. 4 DSG verletzt sind. Im Unterschied zum EuGH ist der EDÖB kein Gericht und er darf daher im Rahmen seiner Kompetenz lediglich Einschätzungen über die Angemessenheit des Datenschutzes abgeben. Aus diesem Grund und im Unterschied zum EuGH-Urteil hinsichtlich der Gültigkeit des EU-US Privacy Shields hat die Einschätzung des EDÖB keinen Einfluss auf das Weiterbestehen des Regimes des CH-US Privacy Shield; betroffene Personen können sich (noch) solange darauf berufen, als dieses seitens der USA nicht widerrufen wird – allerdings unter Beachtung der angepassten Bemerkungen in der Länderliste.

In der Schweiz liegt noch keine mit dem EuGH-Urteil vergleichbare Rechtsprechung vor. Es ist daher offen, ob die schweizerischen Gerichte in Anwendung von Art. 6 DSG mit Blick auf Datenschutzzugriffe durch US-Behörden zu gleichen Schlüssen wie das EuGH in Anwendung der DSGVO gelangen werden.

Aufgrund dessen ergeben sich für Schweizer Unternehmen, welche ausschliesslich dem DSG unterliegen, die unter Punkt 2.1. aufgeführten Folgen.

2.1. Vorläufige Weitergeltung des CH-US Privacy Shields unter bestimmten Bedingungen

Wie erwähnt, berührt die Einschätzung des EDÖB vom 8. September 2020 die Anwendbarkeit des CH-US Privacy Shields nicht; er bietet aber keinen angemessenen Datenschutz mehr. Die Datenübermittlung von der Schweiz in die USA ist nach DSG daher nur zulässig, wenn der Personenschutz durch andere Massnahmen gewährleistet ist. Diese hat der Datenexporteur zu ergreifen (mehr dazu in III.2)

2.2. Risiken

Die Risiken für Unternehmen, die ausschliesslich dem DSG unterstehen, sind überschaubarer und geringer als für solche, die der DSGVO ganz oder teilweise unterstehen. Das rührt daher, dass zum einen in der Schweiz noch kein vergleichbares Urteil wie dem des EuGHs ergangen ist. Zum andren ist nicht zu übersehen, dass selbst der EDÖB im Flauen bezüglich datenschutzkonformen Export von Personendaten in die USA ist: «Der EDÖB ist bestrebt, Schweizer Unternehmen zu gegebener Zeit weitere Hinweise zum datenschutzverträglichen Export von Personendaten in die USA (…) zu geben. Er wird dies tun, sobald weitere Erkenntnisse wie einschlägige Entscheide schweizerischer Gerichte oder angekündigte Stellungnahmen des EDSA (Europäischer Datenschutzausschuss, Anm. d. R.) vorliegen» (EDÖB, Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG, Bern 08.09.2020, S. 7).

Aufgrund dessen dürfte, solange die Unsicherheit über den «datenschutzverträglichen Export von Personendaten» beim EDÖB besteht, wenn überhaupt eher mit Abmahnungen von betroffenen Personen als mit Sanktionen gerechnet werden – allerdings unter der Voraussetzung, dass der Datenexporteur die in III.2 aufgelisteten Massnahmen umgesetzt hat.

III. Was können betroffene Unternehmen tun?

1. Unternehmen, die der DSGVO unterstehen

Unternehmen, welche vom Urteil betroffen sind d.h. insbesondere diejenigen, welche der DSGVO unterstehen, sollten nicht auf eine schnelle Lösung offen. Die politische Lage in den USA mit Präsident Donald Trump und den bevorstehenden Präsidentschaftswahlen in den USA und die COVID-19-Pandemie sprechen dagegen. Immerhin ist der wirtschaftliche Druck auf die europäisch-amerikanische Politik gross, eine Lösung zu finden: Es ist nämlich hinlänglich bekannt, dass die meisten Unternehmen nicht ohne weiteres auf amerikanische Dienste verzichten können und dass sich Europa nicht leisten kann, auf die digitale Infrastruktur und Dienste aus den USA zu verzichten. Nichts desto trotz können / sollten Unternehmen zwischenzeitlich folgendermassen auf das Urteil reagieren:

• Ausweichen auf europäische Server und Dienste: Einige amerikanische Dienste bieten ihren Nutzern die Möglichkeit an, ihre Daten auf Servern statt in den USA in Europa zu speichern. Ob die blosse Speicherung in Europa genügt, wenn ein Dienst aus den USA genutzt wird, ist jedoch umstritten.Unternehmen, die auf Nummer sicher gehen wollen, verzichten nach Möglichkeit gänzlich auf amerikanische Dienste. Es kann dabei jedoch nicht darüber hinweggesehen werden, dass damit allerding ein wesentlicher Teil der digitalen Infrastruktur in Europa wegbrechen würde und viele Unternehmen ohne die Leistungen amerikanischer Dienste nicht überleben könnten.

• Keine Nutzung von Diensten, welche Daten in den USA bearbeiten lassen: Viele Dienste, die nicht in den USA ansässig sind, lassen dennoch Daten in den USA bearbeiten. Sie nutzen amerikanische Dienste zum Beispiel als Unterauftragsverarbeiter, um ihre Leistungen erbringen zu können. Nach Möglichkeit sollte darauf verzichtet werden.

• Anwendung von Standardvertrags- bzw. Standarddatenschutzklauseln (SCC): Um das Risiko bei der Nutzung von amerikanischen Diensten zu reduzieren, sollten die SCC verwendet werden. Diese sind in Bezug auf die USA nicht in jedem Fall unwirksam. Es dürfte ohnehin eine Frage der Zeit sein, dass amerikanische Dienste, welche zurzeit noch keine SCC anbieten, diese ihren Nutzern zeitnah anbieten werden.

• Einholen der Einwilligung der betroffenen Personen: Das Risiko lässt sich auch reduzieren, indem die Einwilligung der betroffenen Personen für die Nutzung von amerikanischen Diensten eingeholt wird. Die Hürden und der Aufwand für eine rechtswirksame Einwilligung sind jedoch nicht unbeachtlich, denn die Einwilligung muss aktiv und ausdrücklich nach klarer und umfassender Information erfolgen muss. In praktischer Hinsicht scheitert an dieser Hürde bereits die Rechtswirksamkeit der meisten Cookie-Banner.

• Beanspruchen von Ausnahmen im Rahmen der DSGVO: 49 DSGVO erlaubt ausnahmsweise die Übermittlung von Personendaten in Drittländer, unter anderem «die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich» (Art. 49 Abs. 1 lit. b DSGVO).

• Entfernung von Hinweisen auf den Privacy Shield in Datenschutzerklärungen und Verträgen: Viele Datenschutzerklärungen und Auftragsverarbeitungsverträge verweisen auf den Privacy Shield und sollten daher entfernt werden.

2. Unternehmen, die ausschliesslich dem DSG unterstehen

Die Datenübermittlung von der Schweiz in die USA ist nach DSG nur zulässig, wenn der Personenschutz durch andere Massnahmen gewährleistet ist. Im Sinne eines Prüfschemas für die auf Standardvertragsklauseln SCC i.S.v. Art. 6 abs. 2 lit. a DSG gestützte Übermittlung von Personendaten in die USA, welche nicht über ein angemessenes Datenschutzniveau verfügen, schlägt der EDÖB einen dreistufigen Prozess vor:

• Erstens, Vornahme einer Risikoabschätzung: Der Datenexporteur soll zunächst in einer Risikoabschätzung beurteilen, ob sich die bestehenden datenschutzrechtlichen Risiken durch Standardvertragsklauseln (CSS), allenfalls mit Ergänzungen, abdecken lassen. Solche Ergänzungen haben jedoch, wie im nachstehenden Punkt zu lesen ist, im Falle des derogatorischen Vorrangs des öffentlichen Rechts des fremden Staats nur eine beschränkte Wirkung.

• Zweitens, Überprüfung der Position des Empfängers: In einem zweiten Schritt muss der Datenexporteur prüfen, ob der Empfänger der Daten einerseits besonderen Zugriffen der lokalen Behörden unterworfen ist (wie z.B. US Massenüberwachungsgesetze) und anderseits in der Lage ist, die vertragliche von ihm verlangte Mitwirkung zum Schutz der Personendaten zu erbringen. Muss dies verneint werden, zeitigen die in den Standardvertragsklauseln vorgesehenen Mitwirkungspflichten keinerlei Wirkung.

• Drittens, Schutz durch technische Massnahmen: Kann das Risiko der Behördenzugriffe aufgrund der Position des Empfängers nicht eingedämmt werden, so sollen technische Massnahmen den Zugriff faktisch verhindern. Das kann zum Beispiel mit einer BYOK-Lösung (Bring Your Own Key) erreicht werden: Damit werden die Daten verschlüsselt gesendet und/oder hinterlegt und der Empfänger kann diese nur entschlüsseln, wenn er über den nötigen Schlüssel verfügt. Wenn solche Massnahmen nicht möglich sind, ist auf die Übermittlung von Daten in die USA gänzlich zu verzichten.

Zuletzt und ungeachtet davon besteht nach DSG auch die Möglichkeit, eine ausdrückliche Einwilligung zur Datenübermittlung in die USA der betroffenen Person einzuholen. Dabei muss aber ein besonderes Augenmerk auf die umfassende Informationspflicht gegenüber den Betroffenen gelegt werden, andernfalls die Einwilligung ungültig sein könnte.

Fazit

⇒ Das Urteil des EuGH C-311/18 vom 16. Juli 2020 hebt den EU-US Privacy Shield auf und die Übermittlung von Personendaten aus der EU in die USA stellt somit einen Verstoss gegen die DSGVO dar.

Für Unternehmen, die ganz oder teilweise der GSVO unterstehen, sind die Konsequenzen beachtlich und die notwendigen Massnahmen sollten ergriffen werden, aber:

⇒ Panik und überhastete Entscheidungen über die zu ergreifenden Massnahmen sind zurzeit (und überhaupt) fehl am Platz, weil:

• • Datenschutzaufsichtsbehörden dürften in Anbetracht der Abhängigkeit vieler Unternehmen von amerikanischen Diensten nicht verlangen, dass x-tausende Unternehmen in der EU und der CH von einem Tag auf dem anderen auf die Nutzung von amerikanischen Diensten (Hard- wie Software) verzichten. Das hätte ein wirtschaftliches Erdbeben zur Folge – erst recht nach dem wegen der Covid-19-Pandemie angeordneten Lockdown und der weiterhin unsicheren wirtschaftlichen Gesamtlage.

• • Europa befindet sich im Vergleich zu den USA und Asien in einem enormen digitalen Rückstand: Europa ist schlichtweg nicht in der Lage, die benötigte IT-Infrastruktur selbst zu betreiben und weiterzuentwickeln. Ohne Hard- und Software aus den USA und Asien kann die europäische Wirtschaft (aktuell) kaum funktionieren.

• • Die EU – und auch die Schweiz – hat daher jegliches Interesse, mit den USA eine Lösung zu finden. Die politische Lage in den USA sowie die Covid-19-Pandemie lassen aber nicht auf eine schnelle Lösungsfindung hoffen.

⇒ Infolge dessen sollten die betroffenen Unternehmen eine pragmatische Vorgehensweise bevorzugen, die Entwicklung beobachten und zwischenzeitlich die kleineren Massnahmen mit den grössten Wirkungen umsetzen. Der komplette Verzicht auf amerikanische Dienste dürfte nämlich ebenso wenig finanzierbar wie aus Praktikabilitätsgründen umsetzbar sein. Alles andere käme gleich, auf Spatzen mit Kanonen zu schiessen.

⇒ Die Einschätzung des EDÖB vom 8. September 2020, wonach der Datenschutz in den USA unangemessen ist, hebt das CH-US Privacy Shield nicht auf, knüpft aber die Übermittlung von Personendaten aus der Schweiz in die USA an bestimmten Voraussetzungen an.

Für Unternehmen, auf denen ausschliesslich das DSG anwendbar ist, sind die Konsequenzen dieser Einschätzung vorläufig und im Vergleich zu denen, die der DSGVO unterstehen, relativ gering.

⇒ Bei der auf den Standardvertragsklauseln gestützten Datenübermittlung in die USA müssen diese stets eine dreistufige Einzelfallüberprüfung vornehmen bestehend aus:

• • einer Abschätzung der datenschutzrechtlichen Risiken,

• • der Prüfung, ob der Empfänger der Personendaten in den USA besonderen Zugriffen der dortigen Behörden unterworfen ist, und

• • ob der Zugriff der Behörden auf die übermittelten Personendaten in den USA mit technischen Mitteln wie z.B. mit Verschlüsselung faktisch verhindert werden kann.

⇒ Können diese Voraussetzungen erfüllt werden, können Personendaten von der Schweiz in die USA gefahrlos übermittelt werden.