luigina – Thommen Law & Risk Management GmbH

Know-How-Schutz im Unternehmen

luigina — Mon, 18 Jul 2022 20:00:00 +0000

Veröffentlicht am 31. Oktober 2018

Know-How-Schutz im Unternehmen

Know-How ist ein kostbares Gut, das Unternehmen einen Wettbewerbsvorteil verschafft, und es ist von der Konkurrenz entsprechend begehrt. Der unzulängliche Schutz dieses immateriellen Vermögenswerts kann den langfristigen Erfolg eines Unternehmens erheblich gefährden und entsprechend zu erheblichem Schaden führen. Im folgenden Beitrag soll dargelegt werden wie Unternehmen ihr Knowhow schützen können.

I. Begriff des Know-Hows und Abgrenzungen

1. Begriff

Unter Know-How versteht man sämtliche nicht patentierbare technische, kaufmännische oder betriebswirtschaftliche Kenntnisse und Erfahrungen, welche unmittelbar bei der Produktion, dem Vertrieb oder der Erbringung von Dienstleistungen anwendbar sind. Know-How ist somit gewerblich anwendbar.

Es handelt um Wissensvorsprünge, die nur einem bestimmten Personenkreis bekannt sind, und deren Inhaber technische und organisatorische Massnahmen treffen (sollten), damit sie innerhalb dieses Personenkreises bleiben. Zu denken ist z.B. an Rezepturen, Kalkulationen, Kundenlisten oder Geschäftsstrategien.

Know-How ist per se nicht geheim und geniesst unter Vorbehalt der in Kapitel II erläuterten Massnahmen keines rechtlichen Schutzes.

2. Abgrenzungen

2.1. Zur Erfindung

Eine Erfindung im Sinne von Art. 1 Patentgesetz ist eine neue, gewerblich anwendbare technische Lehre und besteht in der Lösung einer technischen Aufgabe. Insoweit stimmen die Begriffe des technischen Know-Hows und der Erfindung überein. Know-How umfasst aber wie oben erwähnt nicht nur technisches Wissen, sondern es kann stattdessen betriebswirtschaftliche, administrative oder kaufmännische Kenntnisse zum Gegenstand haben. Das erste Abgrenzungsmerkmal zwischen Know-How und Erfindung ist somit der Gegenstand.

Know-How unterscheidet sich weiter von der Erfindung, dass dieses nicht neu zu sein braucht und somit, soweit es sich um technisches Know-how handelt, nicht patentierbar ist. Betriebswirtschaftliche Kenntnisse und Erfahrungen und dergleichen sind ohnehin nicht patentierbar, weil sie keine technischen Handlungslehren sind. Das zweite Abgrenzungsmerkmal zwischen Know-how und Erfindung besteht somit in der Patentierbarkeit.

2.2 Zum Unternehmensgeheimnis

Das Unternehmensgeheimnis, worunter Fabrikations- und Geschäftsgeheimnisse fallen, umfasst alle geheimen Tatsachen, die für ein bestimmtes Unternehmen relevant sind. Unternehmensgeheimnisse sind von Gesetzes wegen geschützt. Dies trifft auf Know-How nicht zu: Dafür muss dessen Inhaber Vorkehrungen treffen.

Das Fabrikationsgeheimnis bezieht sich auf alle geheimen Herstellungsverfahren, Konstruktionspläne usw. Fabrikationsgeheimnis und wird fälschlicherweise oft als Synonym für Know-How verwendet. Das Pendant zum Fabrikationsgeheimnis für kommerzielle und administrative Kenntnisse ist das Geschäftsgeheimnis. Es betrifft geheime Kenntnisse u.a. über die interne Organisation sowie über Kunden- und Lieferantenbeziehungen.

Know-How fällt ohne weiteres unter dem Unternehmensgeheimnis. Es unterscheidet aber sich vom Unternehmensgeheimnis dadurch, dass Know-How nicht geheim zu sein braucht. Auch nicht geheimes Wissen und Erfahrungen können Know-How darstellen. Umgekehrt ist nicht jedes Unternehmensgeheimnis auch Know-How. Das ist insbesondere dann der Fall, wenn ein Unternehmensgeheimnis gewerblich nicht rechtmässig nutzbar ist.

II. Wie kann Know-How geschützt werden?

Bei der Frage des Know-How-Schutzes sind zwei Aspekte zu betrachten:

Wie es unternehmensintern geschützt wird. Es geht dabei um die Fragen, wer innerhalb des Unternehmens Zugang zu einem bestimmten Know-How haben soll, wie es von «Aussenangriffen» (Cyber-Attacken, Betriebsführungen usw.) und wie dieses bei Austritt eines Mitarbeiters geschützt werden kann.
Wie es im externen Verhältnis namentlich bei Verhandlungen mit Kunden, Lieferanten, Geschäftspartnern usw. geschützt werden kann.

1. Unternehmensinterner Schutz

Know-How ist auf verschiedenen Informationsträger (physisch z.B. auf Papier oder elektronisch) gespeichert oder aber auch bloss in den Köpfen von Mitarbeitenden ohne jegliche Aufzeichnung. Im heutigen Informationstechnologie- und Globalisierungszeitalter sind Unternehmen in Bezug auf ihr geheimes Know-How gefährdet, weil neben Cyberangriffen von aussen auch eigene Mitarbeiter (bestehende wie ehemalige) ein ernst zu nehmendes Risiko darstellen. Vor diesem Hintergrund sind in Bezug auf den Know-How-Schutz folgende Punkte zu beachten:

Sorgfältige Auswahl der Mitarbeiter und arbeitsvertragliche Absicherung mittels Geheimhaltungsklausel, welche die Beendigung des Arbeitsverhältnisses überdauert, sowie einer nachvertraglichen Konkurrenzklausel.
Schaffung und Aufrechterhaltung einer sicheren Arbeitsplatz-, Organisations- und IT-Infrastruktur. In diesem Zusammenhang ist auch der Arbeitsatmosphäre die notwendige Aufmerksamkeit zu schenken: Unzufriedene, frustrierte Mitarbeiter und solche, die innerlich gekündigt haben, sind nicht selten versucht, ihrem Arbeitgeber zu schaden.
Schaffung und Aufrechterhaltung des Bewusstseins auf allen Ebenen des Unternehmens, dass Know-How ein wertvolles und entsprechend begehrtes und verwundbares Gut ist, das als eines der wichtigsten Assets für den langfristigen Unternehmenserfolg geschützt werden muss.

2. Unternehmensexterner Schutz

Die Zusammenarbeit mit anderen Unternehmen, Kunden, Lieferanten usw. verlangt oft den Austausch von geheimem Know-How. Damit das vermittelte Know-How nur für den vorgesehenen Zweck (z.B. ein Projekt, einen Lieferanten- oder Vertriebsvertrag) verwendet wird und weiterhin geheim bleibt, empfiehlt es sich vor Aufnahme der Verhandlungen vertragliche Vorkehrungen zu treffen, welche den Schutz der übermittelten Informationen gewährleisten. Dazu dient die Geheimhaltungsvereinbarung (auch NDA, Non-Disclosure Agreement genannt) und, soweit die Parteien handelseinig werden, eine Schutzklausel im entsprechenden Vertrag.

Je nach Wettbewerbsrelevanz des zu übermittelnden geheimen Know-Hows lohnt es sich, bei der Erstellung der NDA oder der Schutzklausel die erforderliche Zeit und Sorgfalt aufzuwenden. Wird nämlich geheimes Know-How öffentlich bekannt, unberechtigten Dritten zugänglich gemacht, zweckentfremdet oder sonst wie missbraucht, vermag der finanzielle Ersatz den verlorenen Wettbewerbsvorteil kaum zu kompensieren. Beim NDA und den Schutzklauseln sind daher den folgenden Punkten besondere Aufmerksamkeit zu schenken:

Genaue Definition, welche Informationen als geheim gelten, und zu welchem Zweck diese übermittelt werden.
Definition der Empfänger der übermittelten geheimen Informationen innerhalb des empfangenden Unternehmens (sog. Need to know-Klausel). Bei Konzernverhältnissen Konzernklausel einfügen, wonach Organe und Mitarbeiter des Empfängers oder solche von verbundenen und/oder kontrollierten Unternehmen nicht als Dritte gelten, sofern diese im Rahmen des Vertragszwecks ein «Need to know» haben und ebenfalls zur Geheimhaltung verpflichtet worden sind.
Form der Übermittlung (verschlüsselte Email, Post usw.). Im Falle der mündlichen Übermittlung nachträgliche schriftliche Bestätigung über den Inhalt und des Zeitpunkts der erhaltenen Information vereinbaren.
Verbot der Offenlegung an Dritte und der zweckfremden Verwendung der empfangenen Informationen regeln.
Festlegung der organisatorischen und technischen Schutzvorkehrungen und des Sorgfaltsmassstab auf Empfängerseite, um die Preisgabe an Dritte und sonstige Unberechtigte zu vermeiden.
Bestimmung der Ausnahmen von der Geheimhaltung für Informationen, die a) allgemein bekannt oder öffentlich zugänglich sind, b) nicht vom Vertragspartner stammen, c) bereits vor Abschluss des NDAs rechtmässig im Besitz des Empfängers waren, d) vom Empfänger ohne Verwendung der geheimen Informationen des Gebers unabhängig entwickelt worden sind und e) bei gesetzlichen oder behördlichen Offenlegungspflichten.
Regelung der Dauer des NDA bzw. der Schutzklausel unter Berücksichtigung der Wettbewerbsrelevanz der offenbarten Informationen und des Geheimhaltungsinteresses.
Rückgabe-, Zerstörungs- und Löschungspflichten in Bezug auf die übermittelten geheimen Informationen und auf das übermittelte Material nach Ablauf der Geheimhaltungsverpflichtung oder bei Beendigung des Projekts. Ausnahmeregelung für Daten vorsehen, die zum Zweck des IT-Desaster Recovery als Backup gespeichert wurden.
Abschreckend hohe und von einem allfälligen Schaden unabhängige Konventionalstrafe für den Fall der Verletzung des NDA bzw. der Schutzklausel auf Empfängerseite vereinbaren. Dies dient einerseits als «Damoklesschwert», um Nachdruck zu geben, sich empfängerseitig an die Vertraulichkeitsverpflichtung zu halten. Anderseits dient eine Konventionalstrafe als Absicherung für den Erhalt einer Entschädigung im Verletzungsfalle. Der tatsächlich erlittene Schaden lässt sich nämlich i.d.R. kaum beziffern bzw. beweisen, was zur Folge hat, dass der Schadenersatzanspruch gerichtlich nicht durchsetzbar ist.
Bei Verhandlungen bzw. Kooperationen mit Geschäftspartnern mit Sitz im Ausland, vorgängige Abklärung der Rechtslage hinsichtlich Schutzes von Know-How und Unternehmensgeheimnissen sowie Durchsetzbarkeit vornehmen. Wahl eines auf das NDA vorteilhaften anwendbaren Rechts und Gerichtstands. Das gilt auch für unternehmensinterne Verhältnisse z.B. bei Filialen, Mitarbeiter, Vertreter u. dergl. im Ausland.

III. Fazit

Wissen sprich Know-How ist Macht, wodurch Unternehmen gegenüber der Konkurrenz einen Wettbewerbsvorteil haben. Tragen Sie Sorge dazu und schützen Sie es! Der langfristige Erfolg Ihres Unternehmens hängt auch davon ab.

Bei Fragen stehe ich Ihnen u.a. für Vertragsrecht sowie für Know-How- und Technologietransfer gerne zur Verfügung.

© Thommen Law & Risk Management GmbH | Impressum | Datenschutzerklärung

Notfallplan für die Geschäftsfortführung von KMU

luigina — Mon, 07 Mar 2022 20:00:00 +0000

Veröffentlicht am 7. März 2019

Notfallplan für die Geschäftsfortführung von KMU

Was geschieht, wenn der Geschäftsinhaber oder eine andere Schlüsselperson einer KMU wegen eines Unfalls oder einer Krankheit dauernd oder vorübergehend urteilsunfähig wird? Ein notfall- oder unplanmässiger Ausfall des Geschäftsinhabers oder einer Schlüsselperson kann nicht nur den Fortbestand einer Unternehmung in Frage stellen, sondern auch erhebliche Auswirkungen auf das persönliche oder das Familienvermögen zeitigen. Der Unternehmer ist daher gut beraten, für diesen Fall mit einem Notfallkonzept bestehend aus einem Notfallplan und einem Vorsorgeauftrag vorzusorgen.

I. Ausgangslage

Es ist eine Tatsache, dass sich niemand mit der eigenen Verletzlichkeit (von der eigenen Vergänglichkeit ganz zu schweigen) gerne auseinandersetzt. Es ist ebenso unbestreitbar, dass das Tagesgeschäft diese Auseinandersetzung oft verdrängt. Erfahrungsgemäss ist die Folge davon, dass bei Notfallsituationen oftmals folgende (nicht abschliessend aufgezählte) ungelöste Sachverhalte und Probleme auftauchen:

Löhne, Lieferanten- und sonstigen Kreditorenrechnungen können wegen fehlender Bankberechtigungen und Vollmachten nicht bezahlt werden. Das kann zur betreibungs- oder konkursrechtlichen Auflösung der Unternehmung führen.
Administrative Prozesse und Arbeitsprozesse kommen zum Erliegen, weil diese nicht dokumentiert sind und/oder der Zugang zur IKT (Benutzer- und Passwörter, Benutzerrechte) nicht geregelt und dokumentiert ist.
Niemand kann die Unternehmung nach aussen vertreten, weil nur eine Person (der Geschäftsinhaber) im Handelsregister als zeichnungsberechtigt eingetragen ist und/oder die Stellvertretung nicht geregelt wurde. Dies kann die amtliche Liquidation und Löschung der Unternehmung wegen Organisationsmangel zur Folge haben.
Die Unternehmung wird infolge fehlender Regelung bei Urteilsunfähigkeit beziehungsweise infolge fehlendem Vorsorgeauftrag des Unternehmensinhabers handlungsunfähig. Auch das kann die amtliche Liquidation und Löschung der Unternehmung infolge Organisationsmangels zur Folge haben.

Das muss (und darf) nicht sein, denn der Fortbestand einer Unternehmung kann mit einem Notfallplan und dazu gehörigem Vorsorgeauftrag geregelt werden.

II. Notfallplan

Ein Notfallplan bezweckt die Fortführung des Unternehmens in Krisensituationen wie beim ungeplanten, plötzlichen Ausfall des Geschäftsinhabers infolge unfall- oder krankheitsbedingten Eintritts der Urteilsunfähigkeit. Er enthält den individuellen Bedürfnissen angepasste Anweisungen, Prozesse und die wichtigsten Informationen über:

wer, was bei Eintritt eines Notfalls zu tun hat;
wer die Geschäftsführung übernimmt;
wo wichtige Akten, Daten (inkl. Benutzer- und Passwörter sowie Berechtigungen) und Gegenstände (Schlüssel, Badges usw.) hinterlegt bzw. gespeichert sind. Darunter gehört zwingend auch der Vorsorgeauftrag des Unternehmers;
die Kontaktdaten zumindest der wichtigsten Schlüssellieferanten und -kunden;
und die Kontaktdaten von Partnerunternehmungen.

Ein Notfallplan ist hinsichtlich des Fortbestands einer Unternehmung nur so gut und zweckmässig, als parallel dazu auch die Vertretung des Unternehmers im Rechtsverkehr (namentlich seine Vertretung als Gesellschafter oder Aktionär an Generalversammlungen, als Verwaltungsrat, als Geschäftsführer) in einem Vorsorgeauftrag geregelt ist.

III. Vorsorgeauftrag

1. Rechtslage bei fehlendem Vorsorgeauftrag

Ist kein Vorsorgeauftrag vorhanden, sieht das Gesetz vor, dass bei einer Urteilsunfähigkeit die Erwachsenenschutzbehörde (KESB) tätig wird und einen Beistand für die betroffene Person einsetzt. Eine Ausnahme besteht, wenn die urteilsunfähige Person einen Ehegatten oder einen eingetragenen Partner hat und mit diesem einen gemeinsamen Haushalt führt oder von diesem regelmässig und persönlich Beistand erhält. In einem solchen Fall ist der Ehegatte oder der eingetragene Partner von Gesetzes wegen Vertreter der urteilsunfähigen Person.

In diesem Fall ist nicht garantiert, dass der urteilsunfähige Unternehmer hinsichtlich des Fortbestands seiner Unternehmung in seinem Sinne vertreten wird.

2. Eigene Regelung mittels Vorsorgeauftrag

Wer selbst entscheiden will, wer ihn und wie diese Person ihn bei Urteilsunfähigkeit vertreten soll, muss dies in einem Vorsorgeauftrag regeln.

Im Vorsorgeauftrag kann nicht nur die (natürliche oder juristische) Person bestimmt werden, welche einem bei Urteilsunfähigkeit vertritt, sondern es kann auch deren Auftrag näher umschrieben werden. So kann namentlich geregelt werden, ob der Vertreter eine uneingeschränkte Vollmacht haben soll oder ob er bestimmte Vorgaben einhalten muss. Im Vorsorgeauftrag kann (soll) des Weiteren die Vermögensvorsorge geregelt werden nämlich wer und wie die laufenden finanziellen Verpflichtungen (Verwaltung der Einkünfte, Finanzierung des Lebensunterhalts usw.) des Urteilsunfähigen besorgt. Der Vorsorgeauftrag ermöglicht daher eine auf die persönlichen Bedürfnisse zugeschnittene Regelung.

Ein Vorsorgeauftrag ist insbesondere für unverheiratete Unternehmer sinnvoll oder für jene, die nicht in einer eingetragenen Partnerschaft leben, also Alleinstehende oder im Konkubinat Lebende. Sinnvoll kann ein Vorsorgeauftrag aber auch bei einem verheirateten bzw. in einer eingetragenen Partnerschaft lebenden Unternehmer sein, z.B. wenn er den Ehepartner nicht zusätzlich belasten will oder dieser nicht in der Lage ist, seine geschäftlichen Angelegenheiten zu führen. In diesem Fall kann er einen anderen Vertreter bestellen.

Es sei zuletzt erwähnt, dass der Vorsorgeauftrag zu seiner Gültigkeit einer bestimmten Form bedarf: Wie beim Testament muss er entweder vollständig handschriftlich verfasst sein und/oder notariell beurkundet werden. Grosse Bedeutung kommt abschliessend der Aufbewahrung und der Zugänglichkeit des Vorsorgeauftrags zu: Ist dieser unauffindbar, nützt er herzlich wenig.

IV. Fazit

Jeder Unternehmer ist gewohnt, selbst zu entscheiden. Ein Vorsorgeauftrag bietet ihm die Möglichkeit, dies zu tun im Fall, dass er unfall- oder krankheitsbedingt urteilsunfähig wird. Ein Notfallplan und insbesondere ein Vorsorgeauftrag sind unerlässliche Bestandteile einer umfassenden Nachfolgeregelung.

© Thommen Law & Risk Management GmbH | Impressum | Datenschutzerklärung

Aktuelles zum Datenschutz: Ungültigkeit des US Privacy Shields

luigina — Mon, 12 Oct 2020 10:13:17 +0000

Veröffentlicht am 12. Oktober 2020

Aktuelles zum Datenschutz: Ungültigkeit des US Privacy Shields – Auswirkungen und Handlungsempfehlungen für Unternehmen, die der DSGVO und/oder dem DSG unterstehen

Einleitung

Mit Urteil C-311/18 vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) den Privacy Shield zwischen der EU und den USA per sofort für unwirksam erklärt.[1] Das EuGH als oberste europäische Gerichtsinstanz begründete die Ungültigkeit es EU-US Privacy Shields mit den umfassenden Überwachungsmöglichkeiten insbesondere durch US amerikanische Geheimdienste bei gleichzeitig völlig unzureichenden Rechtsbehelfen für in der EU ansässige betroffene Personen. Damit entfällt die Grundlage für die Übermittlung von Personendaten aus Europa in die USA. Anders ausgedrückt ist die Übermittlung personenbezogener Daten in die USA nicht mehr rechtmässig und stellt einen Verstoss gegen die DSGVO dar, das mit einem (schmerzhaften bis existenzgefährdenden) Bussgeld geahndet werden kann. Im Endergebnis dürften nämlich nach diesem Urteil die meisten amerikanischen IT-Dienste nicht mehr für die Datenverarbeitung von Personen im EU-Raum bzw. im EWR eingesetzt werden; dies bedeutet wiederum, dass Unternehmen im EWR auf einen nicht unwesentlichen Teil ihrer IT-Infrastruktur verzichten müssten.

Das EuGH-Urteil ist zwar für die Schweiz rechtlich nicht verbindlich, zeitigt aber dennoch erhebliche und direkte Auswirkungen für Unternehmen in der Schweiz, welche der DSGVO unterstehen. Davon sind jedoch indirekt auch Schweizer Unternehmen betroffen, welche ausschliesslich dem schweizerischen Bundesgesetz über den Datenschutz vom 19. Juni 1992 (DSG, SR 235.1) unterstehen, denn gestützt darauf hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter EDÖB am 8. September 2020 in seiner Länderliste die USA bezüglich der Angemessenheit des Datenschutzes, besondere Schutzrechte mit der « Letztere genügen den Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht» angepasst.[2]

Im Folgenden Beitrag werden die Folgen dieses Urteils auf Schweizer Unternehmen beleuchtet, welche der DSGVO unterstehen, sowie der Anpassung der Länderliste auf denen, worauf ausschliesslich das DSG anwendbar ist. Anschliessend werden Handlungsempfehlungen vorgeschlagen.

I. Vorgeschichte

1. In der EU bzw. dem EWR

Bis im Jahr 2015 unterstand die Übermittlung von europäischen Personendaten in die USA der Safe Harbor-Regelung. Nach dieser Regelung durften Personendaten aus der EU in andere Länderwie wie die USA, übermittelt werden, wenn dort ein «angemessenes Datenschutzniveau» gewährleistet wurde. Bis zum Urteil des EuGH C-362/14 vom 6. Oktober 2015, in welchem die Safe Harbor-Regelung mit den USA für ungültig erklärt und kurz darauf mit dem Privacy Shield ersetzt wurde, galt die Safe Harbor-Regelung zwischen der EU und den USA in datenschutzrechtlicher Hinsicht als rechtsgenüglich.

Hintergrund der Ungültigkeitserklärung der Safe Harbor-Regelung zwischen der EU und den USA war ein Rechtsstreit zwischen einem österreichischen Jura-Student und Facebook in Irland im Zusammenhang mit den Enthüllungen des Whistleblowers Edward Snowden zur globalen Massenüberwachung durch U.S. amerikanische Geheimdienste. Der EuGH beurteilte zum einen, dass der Rechtsschutz in Bezug auf Personendaten ungenügend sei. Zum anderen würde die Safe Harbor-Regelung die anlass- und verdachtslose Massenüberwachung in den USA nicht verhindern.

Nach Art. 4 Ziff. 1 DSGV dürfen Personendaten nur an Drittländer (die Schweiz gilt übrigens auch als Drittland) übermittelt werden, wenn in diesem Drittland ein angemessener Datenschutz gewährleistet ist. Die EU-Kommission stellte für die USA einen angemessenen Datenschutz unter der Bedingung fest, dass sich die amerikanischen Bearbeiter von europäischen Personendaten dem EU-US Privacy Shield zu unterwerfen hätten. Die betreffenden amerikanischen Unternehmen verpflichteten sich damit freiwillig – und bestätigt durch ein entsprechendes Zertifikat – einen angemessenen Datenschutz nach europäischen Standards zu gewährleisten. Dem diente der als Abkommen zwischen der EU und den USA abgeschlossene Privacy Shield, welches das EuGH per 16. Juli 2020 als ungültig erklärt hat.

2. In der Schweiz

Auf der Grundlage von Art. 7 der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG, SR 235.11) führt der EDÖB eine jährlich zu überprüfende Liste von Staaten über die Angemessenheit des von diesen Ländern gewährleisteten Datenschutzes im Sinne von Art. 6 DSG[3].

Der EDÖB berücksichtigt dabei die «Gesetzgebung und deren praktische Umsetzung durch die Staaten sowie deren Beurteilung durch Lehre und Rechtsprechung» sowie «datenschutzrechtliche Konventionen, Publikationen, Stellungnahmen und Beschlüsse in- und ausländischer Institutionen und Behörden zur Gelichwertigkeit oder Angemessenheit des von anderen Staaten oder internationalen Organisationen gewährleisteten Datenschutzniveaus»[4].

In Anwendung dieser Vorschriften hat der EDBÖ am 8. September 2020 unter Berücksichtigung des Urteils des EuGH C-311/18 vom 16. Juli 2020 das CH-US Privacy Shield auf die Angemessenheit des Datenschutzes in den USA für den Transfer von Personendaten aus der Schweiz in den Vereinigten Staaten von Amerika und deren Schutzmassnahmen überprüft. Den Erwägungen des EuGHs folgend hat der EDÖB die Staatenliste bezüglich den USA dahingehend geändert, als der darin enthaltene Verweis ergänzt (fett hervorgehoben) wurde: «Datenbearbeiter, die in Bezug auf Personendaten, welche aus der Schweiz stammen, dem Regime Privacy Shield zwischen den USA und der Schweiz betreiben und auf der Liste des U.S. Department of Commerce verzeichnet sind, gewähren in der Schweiz besondere Schutzrechte. Letztere genügen den Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht»[5]. Im Endeffekt heisst dies, dass die Grundsätze der rechtmässigen Datenverarbeitung nach DSG verletzt sind.

II. Folgen für Unternehmen in der Schweiz

1. Für Unternehmen, die der DSGVO unterstehen

Nach Art. 3 DSGVO wird das europäische Datenschutzrecht und die darauf gestützte Rechtsprechung von den Behörden und Gerichten der EU bzw. des EWRs gegenüber Schweizer Unternehmen angewendet, wenn letztere Daten von in der EU bzw. im EWR ansässige Personen verarbeiten. Schweizerische Unternehmen müssen daher davon ausgehen, dass diese europäischen Behörden und Gerichte von ihnen unter Bussenandrohung verlangen könnten, dass sie sich beim Export von Personendaten in die USA an die Vorgaben des EU-Rechts zu halten.

1.1. Verbot der Datenübermittlung in die USA

Das EuGH-Urteil C-311/18 führt im Endergebnis dazu, dass Unternehmen, welche Daten von Personen aus dem EU-Raum bzw. EWR verarbeiten, ab dem 16. Juli 2020 keine Personendaten in die USA übermitteln dürfen. Dies bedeutet letztlich, dass keine US-Dienste wie Software-Anwendungen, Hosting-Server, Webservices, Clouds mehr verwenden dürfen.

Die Folgen sind weitreichend: Verträge müssen überarbeitet werden, es müssen alternative (IT-) Anwendungen gefunden werden und die Personen, deren Daten verarbeitet werden informiert werden.

1.2. Risiken bei der weiteren Nutzung von US-Diensten

Unternehmen, die weiterhin US-Dienste nutzen, drohen Massnahmen beginnend bestenfalls mit Abmahnungen von betroffenen Personen, von Konkurrenten und von Konsumentenschutzorganisationen bis hin zu Sanktionen von Datenschutz-Aufsichtsbehörden. Für Unternehmen in der Schweiz, welche der DSGVO ganz oder teilweise unterstehen dürften vor allem vertragliche Risiken drohen. Vertragspartner könnten gegen Unternehmen in der Schweiz vorgehen, wenn diese nicht in der Lage sind, einen angemessenen Datenschutz zu gewährleisten, weil sie amerikanische Dienste einsetzen.

Während mit Abmahnungen von betroffenen Personen, Konkurrenten sowie Konsumentenschutzorganisationen zeitnah zu rechnen ist, dürfte bei Datenschutzaufsichtsbehörden zumindest vorläufig eine gewisse Zurückhaltung zu erwarten sein: Die Abhängigkeit der vermutlich überwiegenden Mehrzahl von Unternehmen von US-Diensten (man denke bspw. nur wie viele Microsoft-Dienste benutzen) und die kaum verfügbaren Alternativen in der EU (wie z.B. Server, Software und sonstige Dienste anstelle von Zoom, TeamViewer u.a.m.) dürften nämlich auch den europäischen Behörden hinlänglich bekannt sein. Es darf daher m.E. angenommen werden, dass sich auch die EU-Behörden bewusst sind, dass eine sofortige Anpassung der IT-Landschaft an den Vorgaben des EuGH-Urteils mangels Alternativen, aus praktikabilitäts- und letztlich wirtschaftlichen Gründen kaum Umsetzbar ist. Wie lange allerdings diese Zurückhaltung andauern wird, kann nicht gesagt werden.

2. Für Unternehmen, die ausschliesslich dem DSG unterstehen

Wie in Punkt I. 2 erwähnt, bedeutet die Einschätzung des Datenschutzes in den USA durch den EBÖB vom 8. September 2020 als unangemessen, dass die Grundsätze der rechtmässigen Datenverarbeitung i.S.v. Art. 4 DSG verletzt sind. Im Unterschied zum EuGH ist der EDÖB kein Gericht und er darf daher im Rahmen seiner Kompetenz lediglich Einschätzungen über die Angemessenheit des Datenschutzes abgeben. Aus diesem Grund und im Unterschied zum EuGH-Urteil hinsichtlich der Gültigkeit des EU-US Privacy Shields hat die Einschätzung des EDÖB keinen Einfluss auf das Weiterbestehen des Regimes des CH-US Privacy Shield; betroffene Personen können sich (noch) solange darauf berufen, als dieses seitens der USA nicht widerrufen wird – allerdings unter Beachtung der angepassten Bemerkungen in der Länderliste.

In der Schweiz liegt noch keine mit dem EuGH-Urteil vergleichbare Rechtsprechung vor. Es ist daher offen, ob die schweizerischen Gerichte in Anwendung von Art. 6 DSG mit Blick auf Datenschutzzugriffe durch US-Behörden zu gleichen Schlüssen wie das EuGH in Anwendung der DSGVO gelangen werden.

Aufgrund dessen ergeben sich für Schweizer Unternehmen, welche ausschliesslich dem DSG unterliegen, die unter Punkt 2.1. aufgeführten Folgen.

2.1. Vorläufige Weitergeltung des CH-US Privacy Shields unter bestimmten Bedingungen

Wie erwähnt, berührt die Einschätzung des EDÖB vom 8. September 2020 die Anwendbarkeit des CH-US Privacy Shields nicht; er bietet aber keinen angemessenen Datenschutz mehr. Die Datenübermittlung von der Schweiz in die USA ist nach DSG daher nur zulässig, wenn der Personenschutz durch andere Massnahmen gewährleistet ist. Diese hat der Datenexporteur zu ergreifen (mehr dazu in III.2)

2.2. Risiken

Die Risiken für Unternehmen, die ausschliesslich dem DSG unterstehen, sind überschaubarer und geringer als für solche, die der DSGVO ganz oder teilweise unterstehen. Das rührt daher, dass zum einen in der Schweiz noch kein vergleichbares Urteil wie dem des EuGHs ergangen ist. Zum andren ist nicht zu übersehen, dass selbst der EDÖB im Flauen bezüglich datenschutzkonformen Export von Personendaten in die USA ist: «Der EDÖB ist bestrebt, Schweizer Unternehmen zu gegebener Zeit weitere Hinweise zum datenschutzverträglichen Export von Personendaten in die USA (…) zu geben. Er wird dies tun, sobald weitere Erkenntnisse wie einschlägige Entscheide schweizerischer Gerichte oder angekündigte Stellungnahmen des EDSA (Europäischer Datenschutzausschuss, Anm. d. R.) vorliegen» (EDÖB, Stellungnahme zur Übermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG, Bern 08.09.2020, S. 7).

Aufgrund dessen dürfte, solange die Unsicherheit über den «datenschutzverträglichen Export von Personendaten» beim EDÖB besteht, wenn überhaupt eher mit Abmahnungen von betroffenen Personen als mit Sanktionen gerechnet werden – allerdings unter der Voraussetzung, dass der Datenexporteur die in III.2 aufgelisteten Massnahmen umgesetzt hat.

III. Was können betroffene Unternehmen tun?

1. Unternehmen, die der DSGVO unterstehen

Unternehmen, welche vom Urteil betroffen sind d.h. insbesondere diejenigen, welche der DSGVO unterstehen, sollten nicht auf eine schnelle Lösung offen. Die politische Lage in den USA mit Präsident Donald Trump und den bevorstehenden Präsidentschaftswahlen in den USA und die COVID-19-Pandemie sprechen dagegen. Immerhin ist der wirtschaftliche Druck auf die europäisch-amerikanische Politik gross, eine Lösung zu finden: Es ist nämlich hinlänglich bekannt, dass die meisten Unternehmen nicht ohne weiteres auf amerikanische Dienste verzichten können und dass sich Europa nicht leisten kann, auf die digitale Infrastruktur und Dienste aus den USA zu verzichten. Nichts desto trotz können / sollten Unternehmen zwischenzeitlich folgendermassen auf das Urteil reagieren:

Ausweichen auf europäische Server und Dienste: Einige amerikanische Dienste bieten ihren Nutzern die Möglichkeit an, ihre Daten auf Servern statt in den USA in Europa zu speichern. Ob die blosse Speicherung in Europa genügt, wenn ein Dienst aus den USA genutzt wird, ist jedoch umstritten.Unternehmen, die auf Nummer sicher gehen wollen, verzichten nach Möglichkeit gänzlich auf amerikanische Dienste. Es kann dabei jedoch nicht darüber hinweggesehen werden, dass damit allerding ein wesentlicher Teil der digitalen Infrastruktur in Europa wegbrechen würde und viele Unternehmen ohne die Leistungen amerikanischer Dienste nicht überleben könnten.

Keine Nutzung von Diensten, welche Daten in den USA bearbeiten lassen: Viele Dienste, die nicht in den USA ansässig sind, lassen dennoch Daten in den USA bearbeiten. Sie nutzen amerikanische Dienste zum Beispiel als Unterauftragsverarbeiter, um ihre Leistungen erbringen zu können. Nach Möglichkeit sollte darauf verzichtet werden.

Anwendung von Standardvertrags- bzw. Standarddatenschutzklauseln (SCC): Um das Risiko bei der Nutzung von amerikanischen Diensten zu reduzieren, sollten die SCC verwendet werden. Diese sind in Bezug auf die USA nicht in jedem Fall unwirksam. Es dürfte ohnehin eine Frage der Zeit sein, dass amerikanische Dienste, welche zurzeit noch keine SCC anbieten, diese ihren Nutzern zeitnah anbieten werden.

Einholen der Einwilligung der betroffenen Personen: Das Risiko lässt sich auch reduzieren, indem die Einwilligung der betroffenen Personen für die Nutzung von amerikanischen Diensten eingeholt wird. Die Hürden und der Aufwand für eine rechtswirksame Einwilligung sind jedoch nicht unbeachtlich, denn die Einwilligung muss aktiv und ausdrücklich nach klarer und umfassender Information erfolgen muss. In praktischer Hinsicht scheitert an dieser Hürde bereits die Rechtswirksamkeit der meisten Cookie-Banner.

Beanspruchen von Ausnahmen im Rahmen der DSGVO: 49 DSGVO erlaubt ausnahmsweise die Übermittlung von Personendaten in Drittländer, unter anderem «die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich» (Art. 49 Abs. 1 lit. b DSGVO).

Entfernung von Hinweisen auf den Privacy Shield in Datenschutzerklärungen und Verträgen: Viele Datenschutzerklärungen und Auftragsverarbeitungsverträge verweisen auf den Privacy Shield und sollten daher entfernt werden.

2. Unternehmen, die ausschliesslich dem DSG unterstehen

Die Datenübermittlung von der Schweiz in die USA ist nach DSG nur zulässig, wenn der Personenschutz durch andere Massnahmen gewährleistet ist. Im Sinne eines Prüfschemas für die auf Standardvertragsklauseln SCC i.S.v. Art. 6 abs. 2 lit. a DSG gestützte Übermittlung von Personendaten in die USA, welche nicht über ein angemessenes Datenschutzniveau verfügen, schlägt der EDÖB einen dreistufigen Prozess vor:

Erstens, Vornahme einer Risikoabschätzung: Der Datenexporteur soll zunächst in einer Risikoabschätzung beurteilen, ob sich die bestehenden datenschutzrechtlichen Risiken durch Standardvertragsklauseln (CSS), allenfalls mit Ergänzungen, abdecken lassen. Solche Ergänzungen haben jedoch, wie im nachstehenden Punkt zu lesen ist, im Falle des derogatorischen Vorrangs des öffentlichen Rechts des fremden Staats nur eine beschränkte Wirkung.

Zweitens, Überprüfung der Position des Empfängers: In einem zweiten Schritt muss der Datenexporteur prüfen, ob der Empfänger der Daten einerseits besonderen Zugriffen der lokalen Behörden unterworfen ist (wie z.B. US Massenüberwachungsgesetze) und anderseits in der Lage ist, die vertragliche von ihm verlangte Mitwirkung zum Schutz der Personendaten zu erbringen. Muss dies verneint werden, zeitigen die in den Standardvertragsklauseln vorgesehenen Mitwirkungspflichten keinerlei Wirkung.

Drittens, Schutz durch technische Massnahmen: Kann das Risiko der Behördenzugriffe aufgrund der Position des Empfängers nicht eingedämmt werden, so sollen technische Massnahmen den Zugriff faktisch verhindern. Das kann zum Beispiel mit einer BYOK-Lösung (Bring Your Own Key) erreicht werden: Damit werden die Daten verschlüsselt gesendet und/oder hinterlegt und der Empfänger kann diese nur entschlüsseln, wenn er über den nötigen Schlüssel verfügt. Wenn solche Massnahmen nicht möglich sind, ist auf die Übermittlung von Daten in die USA gänzlich zu verzichten.

Zuletzt und ungeachtet davon besteht nach DSG auch die Möglichkeit, eine ausdrückliche Einwilligung zur Datenübermittlung in die USA der betroffenen Person einzuholen. Dabei muss aber ein besonderes Augenmerk auf die umfassende Informationspflicht gegenüber den Betroffenen gelegt werden, andernfalls die Einwilligung ungültig sein könnte.

Fazit

⇒ Das Urteil des EuGH C-311/18 vom 16. Juli 2020 hebt den EU-US Privacy Shield auf und die Übermittlung von Personendaten aus der EU in die USA stellt somit einen Verstoss gegen die DSGVO dar.

Für Unternehmen, die ganz oder teilweise der GSVO unterstehen, sind die Konsequenzen beachtlich und die notwendigen Massnahmen sollten ergriffen werden, aber:

⇒ Panik und überhastete Entscheidungen über die zu ergreifenden Massnahmen sind zurzeit (und überhaupt) fehl am Platz, weil:

- Datenschutzaufsichtsbehörden dürften in Anbetracht der Abhängigkeit vieler Unternehmen von amerikanischen Diensten nicht verlangen, dass x-tausende Unternehmen in der EU und der CH von einem Tag auf dem anderen auf die Nutzung von amerikanischen Diensten (Hard- wie Software) verzichten. Das hätte ein wirtschaftliches Erdbeben zur Folge – erst recht nach dem wegen der Covid-19-Pandemie angeordneten Lockdown und der weiterhin unsicheren wirtschaftlichen Gesamtlage.

- Europa befindet sich im Vergleich zu den USA und Asien in einem enormen digitalen Rückstand: Europa ist schlichtweg nicht in der Lage, die benötigte IT-Infrastruktur selbst zu betreiben und weiterzuentwickeln. Ohne Hard- und Software aus den USA und Asien kann die europäische Wirtschaft (aktuell) kaum funktionieren.

- Die EU – und auch die Schweiz – hat daher jegliches Interesse, mit den USA eine Lösung zu finden. Die politische Lage in den USA sowie die Covid-19-Pandemie lassen aber nicht auf eine schnelle Lösungsfindung hoffen.

⇒ Infolge dessen sollten die betroffenen Unternehmen eine pragmatische Vorgehensweise bevorzugen, die Entwicklung beobachten und zwischenzeitlich die kleineren Massnahmen mit den grössten Wirkungen umsetzen. Der komplette Verzicht auf amerikanische Dienste dürfte nämlich ebenso wenig finanzierbar wie aus Praktikabilitätsgründen umsetzbar sein. Alles andere käme gleich, auf Spatzen mit Kanonen zu schiessen.

⇒ Die Einschätzung des EDÖB vom 8. September 2020, wonach der Datenschutz in den USA unangemessen ist, hebt das CH-US Privacy Shield nicht auf, knüpft aber die Übermittlung von Personendaten aus der Schweiz in die USA an bestimmten Voraussetzungen an.

Für Unternehmen, auf denen ausschliesslich das DSG anwendbar ist, sind die Konsequenzen dieser Einschätzung vorläufig und im Vergleich zu denen, die der DSGVO unterstehen, relativ gering.

⇒ Bei der auf den Standardvertragsklauseln gestützten Datenübermittlung in die USA müssen diese stets eine dreistufige Einzelfallüberprüfung vornehmen bestehend aus:

- einer Abschätzung der datenschutzrechtlichen Risiken,

- der Prüfung, ob der Empfänger der Personendaten in den USA besonderen Zugriffen der dortigen Behörden unterworfen ist, und

- ob der Zugriff der Behörden auf die übermittelten Personendaten in den USA mit technischen Mitteln wie z.B. mit Verschlüsselung faktisch verhindert werden kann.

⇒ Können diese Voraussetzungen erfüllt werden, können Personendaten von der Schweiz in die USA gefahrlos übermittelt werden.

© Thommen Law & Risk Management GmbH | Impressum | Datenschutzerklärung