{"id":2791,"date":"2020-10-12T10:13:17","date_gmt":"2020-10-12T08:13:17","guid":{"rendered":"https:\/\/thommen-law.ch\/2020\/10\/12\/aktuelles-zum-datenschutz-ungultigkeit-des-us-privacy-shields\/"},"modified":"2023-07-18T08:59:14","modified_gmt":"2023-07-18T06:59:14","slug":"data-protection-news","status":"publish","type":"post","link":"https:\/\/thommen-law.ch\/en\/2020\/10\/12\/data-protection-news\/","title":{"rendered":"Data protection news: Invalidity of the US Privacy Shield"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Published on 12 October 2020<\/h4>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Data protection news: Invalidity of the US Privacy Shield<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Einleitung<\/b><\/strong><\/p>

Mit Urteil C-311\/18 vom 16. Juli 2020 hat der Europ\u00e4ische Gerichtshof (EuGH) den Privacy Shield zwischen der EU und den USA per sofort f\u00fcr unwirksam erkl\u00e4rt.[1]<\/a> Das EuGH als oberste europ\u00e4ische Gerichtsinstanz begr\u00fcndete die Ung\u00fcltigkeit es EU-US Privacy Shields mit den umfassenden \u00dcberwachungsm\u00f6glichkeiten insbesondere durch US amerikanische Geheimdienste bei gleichzeitig v\u00f6llig unzureichenden Rechtsbehelfen f\u00fcr in der EU ans\u00e4ssige betroffene Personen. Damit entf\u00e4llt die Grundlage f\u00fcr die \u00dcbermittlung von Personendaten aus Europa in die USA. Anders ausgedr\u00fcckt ist die \u00dcbermittlung personenbezogener Daten in die USA nicht mehr rechtm\u00e4ssig und stellt einen Verstoss gegen die DSGVO dar, das mit einem (schmerzhaften bis existenzgef\u00e4hrdenden) Bussgeld geahndet werden kann. Im Endergebnis d\u00fcrften n\u00e4mlich nach diesem Urteil die meisten amerikanischen IT-Dienste nicht mehr f\u00fcr die Datenverarbeitung von Personen im EU-Raum bzw. im EWR eingesetzt werden; dies bedeutet wiederum, dass Unternehmen im EWR auf einen nicht unwesentlichen Teil ihrer IT-Infrastruktur verzichten m\u00fcssten.<\/p>

Das EuGH als oberste europ\u00e4ische Gerichtsinstanz begr\u00fcndete die Ung\u00fcltigkeit es EU-US Privacy Shields mit den umfassenden \u00dcberwachungsm\u00f6glichkeiten insbesondere durch US amerikanische Geheimdienste bei gleichzeitig v\u00f6llig unzureichenden Rechtsbehelfen f\u00fcr in der EU ans\u00e4ssige betroffene Personen. Damit entf\u00e4llt die Grundlage f\u00fcr die \u00dcbermittlung von Personendaten aus Europa in die USA. Anders ausgedr\u00fcckt ist die \u00dcbermittlung personenbezogener Daten in die USA nicht mehr rechtm\u00e4ssig und stellt einen Verstoss gegen die DSGVO dar, das mit einem (schmerzhaften bis existenzgef\u00e4hrdenden) Bussgeld geahndet werden kann. Im Endergebnis d\u00fcrften n\u00e4mlich nach diesem Urteil die meisten amerikanischen IT-Dienste nicht mehr f\u00fcr die Datenverarbeitung von Personen im EU-Raum bzw. im EWR eingesetzt werden; dies bedeutet wiederum, dass Unternehmen im EWR auf einen nicht unwesentlichen Teil ihrer IT-Infrastruktur verzichten m\u00fcssten.<\/p>

Das EuGH-Urteil ist zwar f\u00fcr die Schweiz rechtlich nicht verbindlich, zeitigt aber dennoch erhebliche und direkte Auswirkungen f\u00fcr Unternehmen in der Schweiz, welche der DSGVO unterstehen. Davon sind jedoch indirekt auch Schweizer Unternehmen betroffen, welche ausschliesslich dem schweizerischen Bundesgesetz \u00fcber den Datenschutz vom 19. Juni 1992 (DSG, SR 235.1) unterstehen, denn gest\u00fctzt darauf hat der Eidgen\u00f6ssische Datenschutz- und \u00d6ffentlichkeitsbeauftragter ED\u00d6B am 8. September 2020 in seiner L\u00e4nderliste die USA bez\u00fcglich der Angemessenheit des Datenschutzes, besondere Schutzrechte mit der \u00ab Letztere gen\u00fcgen den Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht\u00bb angepasst.[2]<\/a><\/p>

Im Folgenden Beitrag werden die Folgen dieses Urteils auf Schweizer Unternehmen beleuchtet, welche der DSGVO unterstehen, sowie der Anpassung der L\u00e4nderliste auf denen, worauf ausschliesslich das DSG anwendbar ist. Anschliessend werden Handlungsempfehlungen vorgeschlagen.<\/p>

I. Vorgeschichte<\/strong><\/p>

1.\u00a0<\/strong>In der EU bzw. dem EWR<\/strong><\/p>

Bis im Jahr 2015 unterstand die \u00dcbermittlung von europ\u00e4ischen Personendaten in die USA der Safe Harbor-Regelung. Nach dieser Regelung durften Personendaten aus der EU in andere L\u00e4nderwie wie die USA, \u00fcbermittelt werden, wenn dort ein \u00abangemessenes Datenschutzniveau\u00bb gew\u00e4hrleistet wurde. Bis zum Urteil des EuGH C-362\/14 vom 6. Oktober 2015, in welchem die Safe Harbor-Regelung mit den USA f\u00fcr ung\u00fcltig erkl\u00e4rt und kurz darauf mit dem Privacy Shield ersetzt wurde, galt die Safe Harbor-Regelung zwischen der EU und den USA in datenschutzrechtlicher Hinsicht als rechtsgen\u00fcglich.<\/p>

Hintergrund der Ung\u00fcltigkeitserkl\u00e4rung der Safe Harbor-Regelung zwischen der EU und den USA war ein Rechtsstreit zwischen einem \u00f6sterreichischen Jura-Student und Facebook in Irland im Zusammenhang mit den Enth\u00fcllungen des Whistleblowers Edward Snowden zur globalen Massen\u00fcberwachung durch U.S. amerikanische Geheimdienste. Der EuGH beurteilte zum einen, dass der Rechtsschutz in Bezug auf Personendaten ungen\u00fcgend sei. Zum anderen w\u00fcrde die Safe Harbor-Regelung die anlass- und verdachtslose Massen\u00fcberwachung in den USA nicht verhindern.<\/p>

Nach Art. 4 Ziff. 1 DSGV d\u00fcrfen Personendaten nur an Drittl\u00e4nder (die Schweiz gilt \u00fcbrigens auch als Drittland) \u00fcbermittelt werden, wenn in diesem Drittland ein angemessener Datenschutz gew\u00e4hrleistet ist. Die EU-Kommission stellte f\u00fcr die USA einen angemessenen Datenschutz unter der Bedingung fest, dass sich die amerikanischen Bearbeiter von europ\u00e4ischen Personendaten dem EU-US Privacy Shield zu unterwerfen h\u00e4tten. Die betreffenden amerikanischen Unternehmen verpflichteten sich damit freiwillig \u2013 und best\u00e4tigt durch ein entsprechendes Zertifikat \u2013 einen angemessenen Datenschutz nach europ\u00e4ischen Standards zu gew\u00e4hrleisten. Dem diente der als Abkommen zwischen der EU und den USA abgeschlossene Privacy Shield, welches das EuGH per 16. Juli 2020 als ung\u00fcltig erkl\u00e4rt hat.<\/p>

2. In der Schweiz<\/strong><\/p>

Auf der Grundlage von Art. 7 der Verordnung zum Bundesgesetz \u00fcber den Datenschutz vom 14. Juni 1993 (VDSG, SR 235.11) f\u00fchrt der ED\u00d6B eine j\u00e4hrlich zu \u00fcberpr\u00fcfende Liste von Staaten \u00fcber die Angemessenheit des von diesen L\u00e4ndern gew\u00e4hrleisteten Datenschutzes im Sinne von Art. 6 DSG[3]<\/a>.<\/p>

Der ED\u00d6B ber\u00fccksichtigt dabei die \u00abGesetzgebung und deren praktische Umsetzung durch die Staaten sowie deren Beurteilung durch Lehre und Rechtsprechung\u00bb sowie \u00abdatenschutzrechtliche Konventionen, Publikationen, Stellungnahmen und Beschl\u00fcsse in- und ausl\u00e4ndischer Institutionen und Beh\u00f6rden zur Gelichwertigkeit oder Angemessenheit des von anderen Staaten oder internationalen Organisationen gew\u00e4hrleisteten Datenschutzniveaus\u00bb[4]<\/a>.<\/p>

In Anwendung dieser Vorschriften hat der EDB\u00d6 am 8. September 2020 unter Ber\u00fccksichtigung des Urteils des EuGH C-311\/18 vom 16. Juli 2020 das CH-US Privacy Shield auf die Angemessenheit des Datenschutzes in den USA f\u00fcr den Transfer von Personendaten aus der Schweiz in den Vereinigten Staaten von Amerika und deren Schutzmassnahmen \u00fcberpr\u00fcft. Den Erw\u00e4gungen des EuGHs folgend hat der ED\u00d6B die Staatenliste bez\u00fcglich den USA dahingehend ge\u00e4ndert, als der darin enthaltene Verweis erg\u00e4nzt (fett hervorgehoben) wurde: \u00abDatenbearbeiter, die in Bezug auf Personendaten, welche aus der Schweiz stammen, dem Regime Privacy Shield zwischen den USA und der Schweiz betreiben und auf der Liste des U.S. Department of Commerce verzeichnet sind, gew\u00e4hren in der Schweiz besondere Schutzrechte. Letztere gen\u00fcgen den Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht<\/strong>\u00bb[5]<\/a>. Im Endeffekt heisst dies, dass die Grunds\u00e4tze der rechtm\u00e4ssigen Datenverarbeitung nach DSG verletzt sind.<\/p>

II. Folgen f\u00fcr Unternehmen in der Schweiz<\/strong><\/p>

1. F\u00fcr Unternehmen, die der DSGVO unterstehen<\/strong><\/p>

Nach Art. 3 DSGVO wird das europ\u00e4ische Datenschutzrecht und die darauf gest\u00fctzte Rechtsprechung von den Beh\u00f6rden und Gerichten der EU bzw. des EWRs gegen\u00fcber Schweizer Unternehmen angewendet, wenn letztere Daten von in der EU bzw. im EWR ans\u00e4ssige Personen verarbeiten. Schweizerische Unternehmen m\u00fcssen daher davon ausgehen, dass diese europ\u00e4ischen Beh\u00f6rden und Gerichte von ihnen unter Bussenandrohung verlangen k\u00f6nnten, dass sie sich beim Export von Personendaten in die USA an die Vorgaben des EU-Rechts zu halten.<\/p>

1.1. Verbot der Daten\u00fcbermittlung in die USA <\/strong><\/p>

Das EuGH-Urteil C-311\/18 f\u00fchrt im Endergebnis dazu, dass Unternehmen, welche Daten von Personen aus dem EU-Raum bzw. EWR verarbeiten, ab dem 16. Juli 2020 keine Personendaten in die USA \u00fcbermitteln d\u00fcrfen. Dies bedeutet letztlich, dass keine US-Dienste wie Software-Anwendungen, Hosting-Server, Webservices, Clouds mehr verwenden d\u00fcrfen.<\/p>

Die Folgen sind weitreichend: Vertr\u00e4ge m\u00fcssen \u00fcberarbeitet werden, es m\u00fcssen alternative (IT-) Anwendungen gefunden werden und die Personen, deren Daten verarbeitet werden informiert werden.<\/p>

1.2. Risiken bei der weiteren Nutzung von US-Diensten<\/strong><\/p>

Unternehmen, die weiterhin US-Dienste nutzen, drohen Massnahmen beginnend bestenfalls mit Abmahnungen<\/a> von betroffenen Personen, von Konkurrenten und von Konsumentenschutzorganisationen bis hin zu Sanktionen von Datenschutz-Aufsichtsbeh\u00f6rden. F\u00fcr Unternehmen in der Schweiz, welche der DSGVO ganz oder teilweise unterstehen d\u00fcrften vor allem vertragliche Risiken drohen. Vertragspartner k\u00f6nnten gegen Unternehmen in der Schweiz vorgehen, wenn diese nicht in der Lage sind, einen angemessenen Datenschutz zu gew\u00e4hrleisten, weil sie amerikanische Dienste einsetzen.<\/p>

W\u00e4hrend mit Abmahnungen von betroffenen Personen, Konkurrenten sowie Konsumentenschutzorganisationen zeitnah zu rechnen ist, d\u00fcrfte bei Datenschutzaufsichtsbeh\u00f6rden zumindest vorl\u00e4ufig eine gewisse Zur\u00fcckhaltung zu erwarten sein: Die Abh\u00e4ngigkeit der vermutlich \u00fcberwiegenden Mehrzahl von Unternehmen von US-Diensten (man denke bspw. nur wie viele Microsoft-Dienste benutzen) und die kaum verf\u00fcgbaren Alternativen in der EU (wie z.B. Server, Software und sonstige Dienste anstelle von Zoom, TeamViewer u.a.m.) d\u00fcrften n\u00e4mlich auch den europ\u00e4ischen Beh\u00f6rden hinl\u00e4nglich bekannt sein. Es darf daher m.E. angenommen werden, dass sich auch die EU-Beh\u00f6rden bewusst sind, dass eine sofortige Anpassung der IT-Landschaft an den Vorgaben des EuGH-Urteils mangels Alternativen, aus praktikabilit\u00e4ts- und letztlich wirtschaftlichen Gr\u00fcnden kaum Umsetzbar ist. Wie lange allerdings diese Zur\u00fcckhaltung andauern wird, kann nicht gesagt werden.<\/p>

2. F\u00fcr Unternehmen, die ausschliesslich dem DSG unterstehen<\/strong><\/p>

Wie in Punkt I. 2 erw\u00e4hnt, bedeutet die Einsch\u00e4tzung des Datenschutzes in den USA durch den EB\u00d6B vom 8. September 2020 als unangemessen, dass die Grunds\u00e4tze der rechtm\u00e4ssigen Datenverarbeitung i.S.v. Art. 4 DSG verletzt sind. Im Unterschied zum EuGH ist der ED\u00d6B kein Gericht und er darf daher im Rahmen seiner Kompetenz lediglich Einsch\u00e4tzungen \u00fcber die Angemessenheit des Datenschutzes abgeben. Aus diesem Grund und im Unterschied zum EuGH-Urteil hinsichtlich der G\u00fcltigkeit des EU-US Privacy Shields hat die Einsch\u00e4tzung des ED\u00d6B keinen Einfluss auf das Weiterbestehen des Regimes des CH-US Privacy Shield; betroffene Personen k\u00f6nnen sich (noch) solange darauf berufen, als dieses seitens der USA nicht widerrufen wird \u2013 allerdings unter Beachtung der angepassten Bemerkungen in der L\u00e4nderliste.<\/p>

In der Schweiz liegt noch keine mit dem EuGH-Urteil vergleichbare Rechtsprechung vor. Es ist daher offen, ob die schweizerischen Gerichte in Anwendung von Art. 6 DSG mit Blick auf Datenschutzzugriffe durch US-Beh\u00f6rden zu gleichen Schl\u00fcssen wie das EuGH in Anwendung der DSGVO gelangen werden.<\/p>

Aufgrund dessen ergeben sich f\u00fcr Schweizer Unternehmen, welche ausschliesslich dem DSG unterliegen, die unter Punkt 2.1. aufgef\u00fchrten Folgen.<\/p>

2.1. Vorl\u00e4ufige Weitergeltung des CH-US Privacy Shields unter bestimmten Bedingungen<\/strong><\/p>

Wie erw\u00e4hnt, ber\u00fchrt die Einsch\u00e4tzung des ED\u00d6B vom 8. September 2020 die Anwendbarkeit des CH-US Privacy Shields nicht; er bietet aber keinen angemessenen Datenschutz mehr. Die Daten\u00fcbermittlung von der Schweiz in die USA ist nach DSG daher nur zul\u00e4ssig, wenn der Personenschutz durch andere Massnahmen gew\u00e4hrleistet ist. Diese hat der Datenexporteur zu ergreifen (mehr dazu in III.2)<\/p>

2.2. Risiken<\/strong><\/p>

Die Risiken f\u00fcr Unternehmen, die ausschliesslich dem DSG unterstehen, sind \u00fcberschaubarer und geringer als f\u00fcr solche, die der DSGVO ganz oder teilweise unterstehen. Das r\u00fchrt daher, dass zum einen in der Schweiz noch kein vergleichbares Urteil wie dem des EuGHs ergangen ist. Zum andren ist nicht zu \u00fcbersehen, dass selbst der ED\u00d6B im Flauen bez\u00fcglich datenschutzkonformen Export von Personendaten in die USA ist: \u00abDer ED\u00d6B ist bestrebt, Schweizer Unternehmen zu gegebener Zeit weitere Hinweise zum datenschutzvertr\u00e4glichen Export von Personendaten in die USA (\u2026) zu geben. Er wird dies tun, sobald weitere Erkenntnisse wie einschl\u00e4gige Entscheide schweizerischer Gerichte oder angek\u00fcndigte Stellungnahmen des EDSA (Europ\u00e4ischer Datenschutzausschuss, Anm. d. R.) vorliegen\u00bb (ED\u00d6B, Stellungnahme zur \u00dcbermittlung von Personendaten in die USA und weitere Staaten ohne angemessenes Datenschutzniveau i.S.v. Art. 6 Abs. 1 DSG, Bern 08.09.2020, S. 7).<\/p>

Aufgrund dessen d\u00fcrfte, solange die Unsicherheit \u00fcber den \u00abdatenschutzvertr\u00e4glichen Export von Personendaten\u00bb beim ED\u00d6B besteht, wenn \u00fcberhaupt eher mit Abmahnungen von betroffenen Personen als mit Sanktionen gerechnet werden \u2013 allerdings unter der Voraussetzung, dass der Datenexporteur die in III.2 aufgelisteten Massnahmen umgesetzt hat.<\/p>

III. Was k\u00f6nnen betroffene Unternehmen tun?<\/strong><\/p>

1. Unternehmen, die der DSGVO unterstehen<\/strong><\/p>

Unternehmen, welche vom Urteil betroffen sind d.h. insbesondere diejenigen, welche der DSGVO unterstehen, sollten nicht auf eine schnelle L\u00f6sung offen. Die politische Lage in den USA mit Pr\u00e4sident Donald Trump und den bevorstehenden Pr\u00e4sidentschaftswahlen in den USA und die COVID-19-Pandemie sprechen dagegen. Immerhin ist der wirtschaftliche Druck auf die europ\u00e4isch-amerikanische Politik gross, eine L\u00f6sung zu finden: Es ist n\u00e4mlich hinl\u00e4nglich bekannt, dass die meisten Unternehmen nicht ohne weiteres auf amerikanische Dienste verzichten k\u00f6nnen und dass sich Europa nicht leisten kann, auf die digitale Infrastruktur und Dienste aus den USA zu verzichten. Nichts desto trotz k\u00f6nnen \/ sollten Unternehmen zwischenzeitlich folgendermassen auf das Urteil reagieren:<\/p>