Schweizerische Datenschutzbehörde: US-Privacy Shield bietet kein adäquates Schutzniveau
Im Rahmen einer jährlichen Evaluation ist die schweizerische Datenschutzbehörde, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), zu dem Ergebnis gekommen, dass das US Privacy Shield kein angemessenes Datenschutzniveau i.S.d. Art. 6 Abs. 1 DSG, dem schweizerischen Bundesgesetz über den Datenschutz gewährleistet. Somit schließt er sich den Ausführungen des EuGH in Sachen „Schrems II“ an – mit weitreichenden Folgen für den künftigen Datentransfer schweizerischer Unternehmen.
Hintergrund: Das Schweizer Datenschutzrecht
Die Schweiz hat ihr Datenschutzrecht eng an die DSGVO angelehnt. Nach Art. 6 Abs. 1 des Bundesgesetzes über den Datenschutz (DSG) ist die Bekanntgabe von Personendaten ins Ausland – also ein Datentransfer – verboten, sofern es an einer Gesetzgebung fehlt, die den angemessenen (Daten-)Schutz gewährleistet. Eine in diesem Sinne adäquate Gesetzgebung setzt ein gleichwertiges und angemessenes Datenschutzniveau voraus. Dieses liegt bspw. bei den Mitgliedstaaten der EU und des EWR vor, aber auch bei außereuropäischen Staaten wie etwa Kanada oder Uruguay. Das Schweizer Datenschutzrecht entspricht damit im Wesentlichen den auch in Art. 44 ff. der Datenschutz-Grundverordnung definierten Grundsätzen für Drittlandtransfers.
Sofern ein Land nicht über eine entsprechende Gesetzgebung verfügt, ist der Datentransfer gem. Art. 6 Abs. 2 DSG nur möglich, wenn besondere Schutzmaßnahmen getroffen werden. Darüber hinaus führt der EDÖB eine (öffentlich zugängliche) Liste über die Staaten, die von Art. 6 Abs. 1 und 2 DSG erfasst sind, um damit Datenexporteuren eine Einschätzung über das Datenschutzniveau der importierenden Länder zu geben. Bis dato wurden die USA in dieser Liste mit der Bemerkung geführt, dass ein angemessener Datenschutz i.S.d. Art. 6 Abs. 1 DSG gewährleistet wird, sofern die Voraussetzungen des US Privacy Shield eingehalten werden.
Streichung des US Privacy Shields von der Angemessenheitsliste
Genau bezüglich dieser Angemessenheit hat der EDÖB nun im Rahmen seiner jährlichen Evaluation eine Neueinschätzung des US Privacy Shields vorgenommen. Dabei hat er sich im Wesentlichen auf die Informationen aus dem Joint Review des EDSA (Europäischen Datenschutzausschusses) gestützt. Der EDÖB hat vor allem den sog. Ombudsmann-Mechanismus gerügt, der Teil des US Privacy Shields ist. Die sogenannte Ombudsstelle wird von einem leitenden Beamten im US-Außenministerium geführt und behandelt Anträge von EU- und Schweizer Bürgern hinsichtlich des Zugriffes von US-Nachrichtendiensten und anderen Behörden auf in die USA importierte Daten.
Der EDÖB kam zu dem Ergebnis, dass es hierbei einerseits an der Transparenz und folglich an der Durchsetzbarkeit von Betroffenenrechten fehle. Darüber hinaus nimmt er an, dass die Unabhängigkeit der Ombudsstelle von US-Geheimdiensten nicht hinreichend schlüssig und belegt worden sei. Wie für den EuGH war auch für den EDÖB der Zugriff amerikanischer Behörden auf Personendaten ein maßgebliches Kriterium. Ergebnis dieser Evaluation ist, dass das „Fehlen von Garantien vor dem Hintergrund des Anspruchs auf einen Rechtsweg […] für die Durchsetzung der den Betroffenen in der Schweiz […] zustehenden Rechte höchst problematisch sei“. Aufgrund dieser Evaluation kam der EDÖB zu dem Schluss, auf seiner Länderliste das Datenschutzniveau der USA nicht länger als angemessenen zu erachten.
Konsequenzen und Handlungsbedarf
Zwar ist die Einschätzung des EDÖB noch nicht von Schweizer Gerichten behandelt und bestätigt worden. Der EDÖB empfiehlt jedoch, zunächst keine Daten mehr in die USA zu transferieren. Er begründet dies vor allem damit, dass – unabhängig vom Privacy Shield – Standard Contractual Clauses (SCCs) kein adäquates Datenschutzniveau gewährleisten, sofern das jeweils geltende öffentliche Recht des importierenden Staates vorrangig ist und somit den Zugriff auf Personendaten ermöglicht, ohne hinreichende Transparenz und effektiven Rechtsschutz zu gewährleisten. Der EDÖB empfiehlt daher bei Datentransfers in die USA technische Möglichkeiten, wie bspw. Verschlüsselungen, die den Zugriff von Behörden effektiv verhindern.
Im Ergebnis sind damit auch schweizerischen Datenexporteure vor die gleichen faktischen Herausforderungen hinsichtlich der Anpassungen von Datenflüssen gestellt wie auch EU-Datenexporteure. Zudem bieten wir Ihnen in der Broschüre „Schrems II – Bewertung und PwC Unterstützung“ Hinweise und Hilfestellung zum möglichen Vorgehen bei der Einhaltung der datenschutzrechtlichen Vorschriften an Drittlandtransfers: 200724_Schrems-II-Bewertung-und-PwC-Unterstützung.pdf