Derzeit ist die Übermittlung von Personendaten zwischen der Schweiz und den USA stark eingeschränkt. Nachdem nun die Europäische Union (EU) mit den USA ein neues Datenschutzabkommen vereinbart hat, kann davon ausgegangen werden, dass ein entsprechendes Rahmenwerk auch zwischen der Schweiz und den USA geschlossen wird.
In diesem regelmässig aktualisierten Artikel erfahren Sie alles Wichtige zum geplanten Swiss-U.S. Data Privacy Framework.
Warum braucht es ein neues Swiss-U.S. Datenschutzabkommen?
Für grenzüberschreitende Bekanntgaben von Personendaten greifen besondere Vorschriften des Bundesgesetzes für den Datenschutz (DSG), die sowohl von Verantwortlichen als auch von Auftragsbearbeitern eingehalten werden müssen. Personendaten dürfen nur dann ins Ausland bekannt gegeben werden, wenn das Empfängerland einen angemessenen Schutz gewährleistet oder durch zusätzliche Massnahmen ein gemäss den eidgenössischen datenschutzrechtlichen Bestimmungen angemessener Schutz gewährleistet wird.
Bis zum Scheitern des Swiss-U.S. Privacy Shield konnten Personendaten an US-Unternehmen bekanntgegeben werden, wenn diese unter eben diesem Datenschutzabkommen zertifiziert waren. Das Swiss-U.S. Privacy Shield entsprach inhaltlich dem Abkommen EU-U.S. Privacy Shield zwischen der EU und den USA. Beide Abkommen sahen ein in Zusammenarbeit mit US-Behörden administriertes Zertifizierungsverfahren vor, bei dem Unternehmen in den USA sich verpflichten, Datenschutzgrundsätze einzuhalten. Zudem sollten die Vereinigten Staaten garantieren, dass sie eine indirekte Kontrolle von Zugriffen ihrer Behörden auf Schweizer Daten über einen Ombudsperson-Mechanismus ermöglichten.
Aufgrund des sogenannten Schrems-II-Urteils des Europäischen Gerichtshofs (EuGH) im Sommer 2020, in dem die Richter das EU-U.S. Privacy Shield kassierten, kam auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zu der Auffassung, dass das Swiss-U.S. Privacy Shield kein adäquates Datenschutzniveau bietet. Als Hauptargument für das als ungenügend erklärte Privacy Shield führt der EDÖB unzureichende Rechtsschutzmöglichkeiten für Schweizer Betroffene an. Als Konsequenz strich der EDÖB die USA von der Staatenliste mit „angemessene[m] Datenschutz unter bestimmten Bedingungen“.
Da die Gesetzgebung der USA grundsätzlich keinen angemessenen Schutz gewährleistet, können Personendaten derzeit in die USA nur unter den Voraussetzungen nach Art. 16 Abs. 2 DSG bekannt gegeben werden. Vorrangig schliessen Schweizer Unternehmen sogenannte Standardvertragsklauseln (SCC) mit ausländischen Datenimporteuren ab. Allerdings stellt der EDÖB erhöhte Anforderungen an auf SCC gestützte Datentransfers und verlangt von Unternehmen hierbei eine einzelfallabhängige Risikoabschätzung.
Ein neues Swiss-U.S. Datenschutzabkommen würde Schweizer Unternehmen grundsätzlich wieder mehr Rechtssicherheit für die Bekanntgabe von Personendaten in die USA geben.
Aktueller Stand des Swiss-U.S. Data Privacy Frameworks
Die Schweiz steht derzeit in Gesprächen mit den USA bzgl. eines entsprechenden Rahmenwerks (Swiss-U.S. Data Privacy Framework). Mit Einführung des neuen Schweizer Datenschutzgesetzes ist es ab dem 1. September 2023 Aufgabe des Bundesrates, über die Angemessenheit eines Staates gemäss des DSG zu entscheiden (Art. 16 Abs. 1 DSG).
Auch wenn die Europäische Union das EU-U.S. Data Privacy Framework mit den USA vereinbart hat und zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau bestätigt, ändert sich bis zum Vorliegen eines entsprechenden Swiss-U.S. Data Privacy Frameworks nichts an der Angemessenheitsliste der Schweiz. Somit dürfen Personendaten weiterhin nur mit zusätzlichen Garantien (wie den Standardvertragsklauseln) in die USA bekannt gegeben werden.
Auch die Information, dass das Swiss-U.S. Data Privacy Framework in den USA bereits am 17. Juli 2023 in Kraft getreten ist, ändert nichts an dieser Tatsache. Schweizer Unternehmen müssen in Entscheid des Bundesrates abwarten.
Inhalt des Swiss-U.S. Data Privacy Frameworks
US-Unternehmen können sich dem Swiss-U.S. Data Privacy Framework anschliessen, indem sie sich (wie auch zuvor beim Swiss-U.S. Privacy Shield) zur Einhaltung detaillierter Datenschutzpflichten verpflichten. Hierunter fallen beispielsweise die Pflichten personenbezogene Daten zu löschen, wenn der Zweck, für den sie erhoben worden sind, erreicht ist, oder den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dienstleister oder Dritte weitergegeben werden.
Auf amerikanischer Seite kümmert sich das U.S. Department of Commerce um die Anträge auf Zertifizierung und die Überwachung der Einhaltung.
Im Vergleich zu dem Vorgängerabkommen bringt das neue Swiss-U.S. Data Privacy Framework – zumindest auf dem Papier – einige Verbesserungen mit sich. Es werden neue verbindliche Garantien eingeführt, um insbesondere den vom EuGH und EDÖB geäusserten Bedenken Rechnung zu tragen. So ist vorgesehen, dass der Zugang von amerikanischen Nachrichtendiensten zu Schweizer Personendaten auf ein notwendiges und verhältnismässiges Mass beschränkt wird. Ausserdem wird ein Gericht zu Datenschutzüberprüfungen, das sogenannte Data Protection Review Court (DPRC), eingeführt, zu dem Betroffene aus der Schweiz Zugang haben.
Weitere Informationen zum Swiss-U.S. Data Privacy Framework sind unter diesem Link auf Englisch verfügbar.
Fazit: ein Datenschutzabkommen mit wahrscheinlich kurzer Halbwertszeit
Ende 2020 hat der EDÖB die USA von der Staatenliste gestrichen, womit das Swiss-U.S. Privacy Shield schlagartig an Bedeutung verlor. Mit dem Inkrafttreten des Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework durch die europäische Kommission ist gut denkbar, dass sich auch die Position in der Schweiz ändern könnte. Dies würde dann auch Schweizer Unternehmen den Datenexport in die USA erleichtern.
Allerdings sollte ein neues Abkommen mit Vorsicht zu geniessen sein. Denn es steht ausser Frage, dass das EU-U.S. Data Privacy Framework dem EuGH zur Überprüfung vorgelegt wird. Dieses Abkommen ist weitgehend eine Kopie alter Prinzipien. US-Nachrichtendienste haben nach wie vor Zugriff auf die Personendaten von Ausländern und auch das Rechtsbehelfsverfahren entspricht nicht europäischen Grundsätzen. Sollte der EuGH das neue EU-U.S. Abkommen für ungültig erklären, werden sicher auch der EDÖB und der Bundesrat diesem Urteil folgen.
Somit empfehlen wir weiterhin nur Dienstleister einzusetzen, die in der Schweiz oder EU ansässig sind.
