Beurteilung Swiss-US Privacy Shield Abkommen durch den EDÖB – veränderte Listenplatzierung der USA

Beurteilung Swiss-US Privacy Shield Abkommen durch den EDÖB – veränderte Listenplatzierung der USA
Zürich, 08.09.2020

Heute gab der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seine Stellungnahme zur Übermittlung von Personendaten in die USA bekannt (hier zur Medienmitteilung). Hintergrund bildet das Urteil Schrems II des Europäischen Gerichtshofs, in welchem das Gericht das EU-US Privacy Shield Abkommen als ungenügend beurteilte.

Der EDÖB gelangte nun ebenfalls zur Auffassung, dass das Swiss-US Privacy Shield Abkommen nicht genügen würde, um den Schutz von Personendaten sicherzustellen. Insbesondere erachtete der EDÖB den Mangel an Transparenz bei Eingriffen von US-Behörden mit den Bestimmungen des Datenschutzgesetzes (DSG) als unvereinbar. Aufgrund dieser Einschätzung hat der EDÖB die Länderliste betreffend den Auslandstransfer von Daten in Bezug auf die USA angepasst.

Diese Anpassung hat zur Folge, dass künftig bei einem Datenexport in die USA eine Einzelfallprüfung notwendig ist, um den Datenschutz sicherzustellen. In diesem Rahmen können etwa weiterhin Standardvertragsklauseln (SCC) eingesetzt werden, wobei der Datenexporteur jeweils eine Risikoabschätzung vorzunehmen hat. Gemäss dem EDÖB ist dabei entscheidend, ob das Unternehmen im Empfängerstaat besonderen Zugriffen der dortigen Behörden unterworfen ist und ob dieses Unternehmen berechtigt und in der Lage ist, die zur Durchsetzung der schweizerischen Datenschutzgrundsätze nötige Mitwirkung zu leisten.

Fällt diese Einzelfallprüfung negativ aus, muss der schweizerische Datenexporteur gemäss dem EDÖB technische Massnahmen prüfen, die den Behördenzugriff auf die übermittelten Personendaten im Zielland verhindern. Für die reine Datenhaltung (z.B. bei Cloud-Diensten) eines US-Unternehmens führt der EDÖB konkrete technische Massnahmen an: Über eine Verschlüsselung nach den Prinzipien BYOK (bring your own key) und BYOE (bring your own encryption) könne verhindert werden, dass im Zielland Klardaten vorliegen würden und der Dienstleister die Daten selber aufschlüsseln könne.

Schweizer Unternehmen, welche Daten in die USA übermitteln, sind demnach gehalten, ihre Datenprozesse zu analysieren und, wo notwendig, anzupassen, um den Anforderungen des Datenschutzgesetzes zu genügen. Dies gilt insbesondere für diejenigen Unternehmen, welche bei Datentransfers bisher auf das Swiss-US Privacy Shield verwiesen haben. Soweit es technisch nicht möglich ist, Verschlüsselungstechniken einzusetzen, kann es gar ratsam sein, vorerst gänzlich auf die Übermittlung von Personendaten zu verzichten, bis der EDÖB weitere Hinweise zum Datenexport in die USA ausgearbeitet hat.

Claudia Keller / Michael Tschudin / Marcel Boller / Dominique Roos

Standort Zürich

Wenger & Vieli AG
Dufourstrasse 56
Postfach
CH-8034 Zürich
Karte

Standort Zug

Wenger & Vieli AG
Metallstrasse 9
Postfach
CH-6302 Zug
Karte

Kontakt

Telefon: +41 58 958 58 58
Telefax: +41 58 958 59 59
mail [SECURE E-MAIL - REWRITE MANUALLY] *at* wengervieli.ch

Social-Media