17.07.2020 / Kanzlei

EU-US Privacy Shield Abkommen ungenügend – erwartete Auswirkungen auf Schweizer Unternehmen

EU-US Privacy Shield Abkommen ungenügend – erwartete Auswirkungen auf Schweizer Unternehmen

EU-US Privacy Shield Abkommen ungenügend – erwartete Auswirkungen auf Schweizer Unternehmen

Gestern erliess der Europäische Gerichtshof seine lang erwartete Entscheidung hinsichtlich Gültigkeit des EU-US Privacy Shield Abkommens, welches bisher den Datentransfer in die USA, als Land ohne mit der EU gleichwertiges Datenschutzniveau, an unter dem Privacy Shield Abkommen zertifizierte Unternehmen ermöglichte (hier zur Medienmitteilung). Der Gerichtshof erklärte das Abkommen für ungenügend. Dieser Entscheid hat markante Auswirkungen sowohl auf die über 5'000 US-amerikanischen Unternehmen, die sich unter dem Privacy Shield zertifizieren liessen, wie auch auf die Unternehmen, welche personenbezogene Daten an diese Unternehmen zur Bearbeitung transferieren. Diese sind nun gezwungen, andere Massnahmen zur Gewährleistung des gleichwertigen Datenschutzes zu ergreifen. Zwar können betroffene Unternehmen auf die bereits bestehenden und vom europäischem Gerichtshof im gestrigen Entscheid für angemessen und zulässig erklärten EU-Standardvertragsklauseln ausweichen, jedoch statuiert der gestrige Entscheid hierzu die klare Pflicht des transferierenden Unternehmens, im Einzelfall zu prüfen, ob das Recht des Empfängerlandes einen dem EU-Standard entsprechenden Schutz für personenbezogene Daten gewährleistet. Ist dies nicht der Fall, sind zusätzliche Garantien vorzusehen oder aber der Datentransfer auszusetzen. Betroffene Unternehmen müssen nun prüfen, ob im Einzelfall für den Datentransfer die Anwendung der EU-Standardvertragsklauseln genügt, oder ob aufgrund der spezifischen regulatorischen und gesetzlichen Gegebenheiten der USA, welche ja kein bundesstaatenübergreifendes, allgemeines Datenschutzrecht kennen, sondern einen sektoriellen Ansatz pflegen, zusätzliche Schutzmassnahmen (bspw. Verschlüsselung der Daten) notwendig sind.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) liess sich heute - gut schweizerisch - eher zurückhaltend verlauten, wonach das Urteil für die Schweiz nicht direkt anwendbar sei und er dieses nun im Detail prüfen werde (hier zur Medienmitteilung). Trotzdem ist damit zu rechnen, dass der EDÖB dem Bundesrat beantragen wird, auch das CH-US Privacy Shield Abkommen aufzukündigen. Ein in der Schweiz mit der ähnlichen Frage betrautes Gericht würde sich aller Voraussicht nach vom jüngsten Urteil des Europäischen Gerichtshofs leiten lassen. Daher ergibt sich aus dem Entscheid auch Handlungsbedarf für Schweizer Unternehmen, die personenbezogene Daten zur Bearbeitung in die USA transferieren. Auch wenn das CH-US Privacy Shield noch nicht aufgekündigt wurde, empfehlen wir Schweizer Unternehmen, folgende Handlungen möglichst rasch an die Hand zu nehmen:

  1. Analyse, welche Datenflüsse unter dem CH-US Privacy Shield oder über eine Konzerngesellschaft oder einen Dritten über das EU-US Privacy Shield stattfinden;
  2. Prüfung, ob der Datentransfer über die Anwendung der auch vom EDÖB für angemessen erklärten EU-Standardvertragsklauseln möglich ist oder es zusätzlicher Schutzmassnahmen bedarf (rechtliche Risikoanalyse);
  3. Analyse, ob infolge des Urteils nun automatisch alternative vertragliche Schutzklauseln greifen, oder ob diese neu vereinbart werden müssen;
  4. Analyse, ob bei Datentransfers, die zusätzlichen Schutzmassnahmen bedürfen, geeignete Schutzmassnahmen überhaupt organisatorisch und/oder technisch umsetzbar und wirtschaftlich tragbar sind (technische Machbarkeit);
  5. Analyse, welche Alternativen für Datentransfers in Frage kommen, die nach Aufkündigung des CH-US Privacy Shield Abkommens nicht über die EU-Standardvertragsklauseln und/oder zusätzliche Schutzmassnahmen abgewickelt werden können und daher gestoppt werden müssen.

Das Urteil hat verständlicherweise bei dem für das Privacy Shield Abkommen zuständigen US Department of Justice für Unmut gesorgt. Die EU-Kommission ihrerseits hat angekündigt, mit den USA in Verhandlungen über ein Nachfolgerprogramm zu treten. Bis ein solches – wenn überhaupt – steht, bleibt ein datenschutzkonformer Datentransfer in die USA im Einzelfall ein rechtliches Risiko. Zudem bestätigt das Urteil die datenschutzrechtliche Tendenz, generell auf eine rechtliche Risikoanalyse im Einzelfall abzustellen – Unternehmen können sich nicht auf einfache standardisierte Lösungen verlassen, ohne sich mit den effektiven oder potentiellen Risiken auseinanderzusetzen.

Claudia Keller / Michael Tschudin / Marcel Boller / Dominique Roos