Blog

Mit dem Urteil vom 17. Juli 2020 zum Privacy Shield erklärt der Europäische Gerichtshof (EuGH) zum zweiten Mal eine Datenschutzvereinbarung mit den USA für ungültig. Obwohl das EuGH Urteil für die Schweiz nicht direkt bindend ist, hat es erhebliche Auswirkungen auf viele Schweizer Unternehmen. Die Schweiz hatte, in Anlehnung an den Privacy Shield zwischen der EU und den USA, parallel ein Privacy Shield Abkommen mit den USA abgeschlossen. Derzeit bearbeiten rund 3'800 amerikanische Dienste Schweizer Daten auf der Grundlage des CH/US Privacy Shield Abkommens. Auch die sogenannten Standard Contractual Clauses (SCC), die Standardvertragsklauseln, sind vom EuGH Urteil betroffen. Der EuGH hält in seinem Urteil fest, dass diese ihre Gültigkeit nur behalten, wenn ein effektiver Datenschutz gewährleistet werden kann. Ein reiner pro-forma Datenschutz reicht nicht aus. Die SCC galten bisher als Alternative zum Privacy Shield, um den Datenschutz zwischen in der EU ansässigen Unternehmen und Datenverarbeitern in Drittstaaten zu regeln. 

Datenschutz trotz Verträgen nicht gewährleistet

Das jüngste Urteil geht auf die Klage des österreichischen Juristen Max Schrems zurück. Er hatte 2011 erfolgreich gegen das Safe Harbor Abkommen geklagt. Erneut hat er nun nachgewiesen, dass amerikanische Anbieter, trotz entsprechender Vertragsvereinbarungen, nicht in der Lage sind, den Datenschutz gegenüber den US-Überwachungsprogrammen zu gewährleisten. Ursache dafür sind:

• Der Foreign Intelligence Surveillance Act (FISA). FISA verpflichtet US-amerikanische Service- und Telekommunikationsanbieter, weitreichende Überwachungen durch die US-Geheimdienste zuzulassen. 
• Die Executive Order 12333. Sie gestattet den Geheimdiensten, den Datenverkehr über die transatlantischen Datenverbindungen direkt zu überwachen.

Die Schweiz wird nachziehen müssen

Mit dem EuGH Urteil fällt zunächst die rechtliche Grundlage für die direkte Nutzung vieler amerikanischer Clouddienste. Aber auch andere Dienstleistungen können davon betroffen sein. Dies trifft insbesondere dann zu, wenn der europäische Anbieter Daten mit seinem amerikanischen Lieferanten oder dem Mutterhaus auf Basis einer nun unzulässigen rechtlichen Grundlage austauscht. In der Folge können und müssen die Aufsichtsbehörden gegen Unternehmen vorgehen, welche solche Dienste ohne ausreichende rechtliche Grundlage weiterhin nutzen. Durch den Geltungsbereich der Datenschutzgrundverordnung (DSGVO) betrifft das automatisch auch Schweizer Unternehmen, wenn personenbezogene Daten von EU/EWR-Bürgern im Spiel sind. Insbesondere in Deutschland ist daher mit einer Abmahnungswelle zu rechnen. 

Ein neues Abkommen ist notwendig

In seiner ersten Stellungnahme von Anfang September bestätigte der Eidgenössische Datenschutzbeauftragte die Schlussfolgerungen des EuGH und empfahl eine Überprüfung der entsprechenden Standardklauseln auch für die Abkommen, die unter dem schweizerischen Privacy Shield geschlossen wurden. Die meisten Datenschutzexperten gehen jedoch davon aus, dass die Schweiz das derzeit formal noch gültige Abkommen für ungültig erklären muss. Das ergibt sich allein schon deshalb, weil ansonsten ein gemeinsamer Datenschutzraum mit der EU verunmöglicht würde. Vor der gleichen Situation standen wir bereits 2015, als der EuGH das vorangehende Safe Harbor Abkommen gekippt hat. Die Voraussetzungen für eine rasche Einigung sind jedoch im Jahr 2020 völlig andere. Damals trat das neue Privacy Shield Abkommen rasch in Kraft. Jetzt ist eine schnelle Einigung auf ein neues Abkommen, aufgrund der aktuellen politischen Gemengelage, unsicher. 

Wie können/müssen Schweizer Unternehmen vorgehen, bis die rechtliche Situation geklärt ist?

Schweizer Unternehmen können auf unterschiedliche Weise vom EuGH Urteil betroffen sein:

• Wenn sie direkt Informationen auf Basis des Privacy Shield oder darauf basierenden Vertragsstandardklauseln in die USA übermitteln.
• Indirekt, wenn sie von einem europäischen Anbieter oder einer europäischen Niederlassung eines US-Dienstleisters Leistungen beziehen, die Daten ins Mutterhaus liefert. 

Wichtig zu verstehen ist, dass es nach dem Urteil keine Übergangsfrist gibt. Betroffene Unternehmen müssen also sofort aktiv werden. Kurzfristig bestehen dazu folgende Möglichkeiten:

1. Eigene Datenschutzerklärungen anpassen
   Unternehmen, welche in ihren Datenschutzerklärungen gegenüber ihren Kunden auf den Privacy Shield verweisen, sollten diese entsprechend anpassen. Datenschutzerklärungen können in der Regel einseitig angepasst werden. Bei gegenseitigen Datenschutzvereinbarungen gestaltet sich die Anpassung etwas aufwändiger. Für eine Änderung ist die Zustimmung beider Parteien notwendig.
2. Neue bzw. Anpassung von Standardvertragsklauseln
   Bereits heute kommen in vielen Fällen Standardvertragsklauseln zur Gewährleistung des Datenschutzes zur Anwendung. Wie erwähnt erachtet der EuGH diese nur dann als gültig, wenn damit ein "effektiver" (heisst nachweisbarer) Datenschutz gewährleistet werden kann. Wie dieser Nachweis neu rechtlich genau aussehen kann, ist offen. Max Schrems stellt über seine non-profit Organisation nyob.eu entsprechende Anleitungen und Vorlagen kostenlos zur Verfügung. Diese können als Grundlage für Vereinbarungen von Schweizer Unternehmen dienen.
3. Nutzen der Ausnahmeregelung im DSGVO
   Art. 49 DSGVO erlaubt eine ausnahmsweise Übermittlung von Personendaten in Drittländer, u. a. zur Erfüllung eines Vertrages oder, auf Antrag von betroffenen Personen, zur Durchführung vorvertraglicher Massnahmen. In manchen Fällen lassen sich damit unmittelbare Auswirkungen des EuGH Urteils umschiffen.
4. Einwilligung betroffener Personen
   Durch eine ausdrückliche Zustimmung (Opt-in) der betroffenen Kunden, Mitarbeiter oder Partner zu einer Verarbeitung persönlicher Daten durch US-Dienste bzw. auf US-Servern kann das Risiko minimiert werden. Die Herausforderung dabei ist, die unter dem DSGVO geforderte ausdrückliche Zustimmung und umfassende Information der Betroffenen umfassend zu erfüllen.

Datenschutz als politische Waffe

Das jahrelange Ringen um den Datenschutz zeigt, dass hier unterschiedliche Weltanschauungen aufeinanderprallen. Seit Jahren fokussiert die Frage auf das Verhältnis EU/USA bzw. Schweiz/USA. Das lenkt aber ein wenig davon ab, dass es noch eine ganze Reihe ungelöster Fälle gibt. Denken wir an Russland, Indien, China und andere beliebte IT-Near- und Offshore Zentren. Dazu kommt, dass mittlerweile die Politik die Digitalisierung für sich entdeckt hat und das nicht nur im positiven Sinn: Bereits bei den laufenden Konflikten rund um Huawei und TikTok ist offensichtlich, dass zu einem erheblichen Teil Machtinteressen im Spiel sein dürften. Es ist daher zu befürchten, dass der Datenschutz zu einer politischen Waffe im Kampf um die technologische Vorherrschaft verkommt. 

Anbieter und Dienste bedacht wählen

Das sind für viele Unternehmen in der Schweiz, die ohnehin momentan schwierige Zeiten durchleben, keine guten Neuigkeiten. Wer der unsicheren politischen Lage und der zunehmenden Komplexität entgehen will, setzt bei der Auswahl seiner Dienste auf rein europäische oder schweizerische Anbieter. Grosse US-Anbieter haben zwar begonnen, auf die rechtliche Problematik zu reagieren. Sie bieten Kunden bereits heute oder in naher Zukunft die Möglichkeit, ihre Daten ausschliesslich auf europäischen (zunehmend auch schweizerischen) Servern zu verarbeiten. Trotz der redlichen Bemühungen dieser Unternehmen werden sie den Beweis antreten müssen, dass sie in der Lage sind, eine rechtliche Trennung wirklich durchsetzen zu können.

Zusammen. Sicher

Datenschutz und IT-Sicherheit sind nicht nur eine rechtliche Angelegenheit, sondern auch Vertrauenssache. Unsere Spezialisten helfen Ihnen gerne bei der Umsetzung Ihrer Datenschutzrechtlichen Auflage. Kontaktieren Sie uns via info@ispin.ch oder +41 44 838 3111.
ISPIN Swissmade Security.