Seit dem 12. April dieses Jahres können sich US-Unternehmen für das Swiss-US Privacy Shield zertifizieren lassen. Dieses Abkommen löst das Swiss-US Safe Harbor Framework ab, nachdem der Schweizerische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) dieses am 15. Oktober als ungenügend erklärte. Mit dem neuen Abkommen soll der Schutz von personenbezogenen Daten bei der Übermittlung an US-Unternehmen gewährleistet werden. Der EDÖB veröffentlichte vor kurzem einen Leitfaden zum Privacy Shield.

Wieso dieses Abkommen?

Der internationale Austausch personenbezogener Daten ist in der globalisierten und digitalisierten Welt längst zum Alltag geworden. Dies betrifft in besonderem Mass auch den Austausch im Rahmen der engen Handelsbeziehungen zwischen Schweizer Unternehmen und Anbietern mit Sitz in den USA. Für diese Unternehmen sind klare datenschutzrechtliche Vorgaben von zentraler Bedeutung.

Das Schweizer Datenschutzgesetz (DSG) sieht eine besondere Regelung für die grenzüberschreitende Übermittlung von Daten vor. Diese kommt zur Anwendung, wenn Personendaten ins Ausland „bekannt gegeben werden“ (vgl. Art. 6 DSG). Eine Bekanntgabe liegt nicht nur dann vor, wenn Daten aktiv übermittelt werden, sondern bereits wenn einem Dritten Zugriff auf diese Daten (z.B. auf einem Server) gewährt werden. Greift ein Schweizer Unternehmen also beispielsweise im Rahmen eines Outsourcings auf einen amerikanischen Dienstleister zurück oder werden amerikanische Cloud-Speicherdienste genutzt (z.B. iCloud, Google Drive, Dropbox), sind regelmässig die Sondervorschriften des DSG einzuhalten.

Danach gilt der Grundsatz, dass Personendaten nur ins Ausland übermittelt werden dürfen, wenn der Datenschutz im betreffenden Land „angemessen“ ist. Eine Bekanntgabe in Länder ohne angemessenen Datenschutz wird zwar nicht verboten, jedoch werden hierfür Voraussetzungen aufgestellt, die nicht immer leicht zu erfüllen oder zumindest mit Unsicherheiten verbunden sind (Art. 6 Abs. 2 DSG). Für Unternehmen ist es deshalb von grosser Bedeutung, ob ein potentieller Geschäftspartner in einem Land ansässig ist, das über einen angemessenen Datenschutz verfügt oder nicht.

Bekanntermassen besteht nach US-amerikanischen Recht allerdings kein mit der Schweiz oder der EU vergleichbarer und insofern kein angemessener Datenschutz. Vor diesem Hintergrund hat die Schweiz – dem Vorbild der EU folgend – bereits 2008 mit den USA ein besonderes Abkommen abgeschlossen, welches ein angemessenes Datenschutzniveau gewährleisten sollte (sog. US-Swiss Safe Harbor Framework). Damit wurde der grenzüberschreitende Datenaustausch erheblich erleichtert.

Ablösung des Safe-Harbor-Abkommens

Allerdings stellte der Europäische Gerichtshof (EuGH) 2015 fest, dass das Safe Harbor Abkommen zwischen der EU und den USA keinen angemessenen Schutz von Personendaten bietet und somit ungültig ist (vgl. MLL-News vom 8.10.2015). Im Anschluss an dieses Urteil kam auch der Eidgenössische Datenschutzbeauftragte (EDÖB) zum Schluss, dass das entsprechende Abkommen ebenfalls nur mangelhaften Datenschutz gewährt (vgl. MLL-News vom 28.10 2015). In der Folge konnten personenbezogene Daten aus der Schweiz, nur noch unter Einhaltung der besonderen Voraussetzungen von Art. 6 Abs. 2 DSG in die USA übermittelt werden.

Im Nachgang zum Abschluss eines neuen Abkommens zwischen der EU und den USA (vgl. MLL-News vom 25.7.2016) wurde deshalb das Swiss-US-Privacy Shield erarbeitet, sodass die Einhaltung der strengen Voraussetzungen grundsätzlich nicht mehr erforderlich ist. Damit gelten für schweizerische Unternehmen beim Transfer von Personendaten in die USA vergleichbare Standards wie in der EU (vgl. MLL-News vom 15. Februar 2017).

Anwendbarkeit des Swiss-US Privacy Shield

Das Privacy Shield gilt jedoch nicht automatisch für alle US-Unternehmen. Diese müssen sich zunächst beim US-Handelsministerium (Department of Commerce, DOC) registrieren. Um sich registrieren zu können, müssen zertifizierungswillige US-Unternehmen über Datenschutzbestimmungen verfügen, die den Anforderungen des Abkommens genügen. Das DOC überwacht die Einhaltung des Abkommens und ist für dessen Verwaltung zuständig.

Seit dem 12. April 2017 können sich Unternehmen für das Privacy Shield zertifizieren lassen. Auf der Website des DOC sind sodann die zertifizierten Unternehmen aufgelistet. Zudem wird ersichtlich sein, welche Unternehmen nicht mehr dem Privacy Shield angeschlossen sind.

Zu beachten ist allerdings, dass das Privacy Shield nicht auf Daten von juristischen Personen anwendbar ist, d.h. das Abkommen gilt nur für die Übermittlung von Daten natürlicher Personen an amerikanische Unternehmen. In der laufenden Revision des DSG ist ein Schutz für juristische Personen allerdings ohnehin nicht mehr vorgesehen (vgl. MLL-News vom 14.2.2017), weshalb sich dieses Problem künftig nicht mehr stellen dürfte.

Leitfaden des EDÖB

Vor diesem Hintergrund veröffentlichte der EDÖB kürzlich einen Leitfaden zum neuen Datenschutzabkommen mit den USA. Darin beschreibt er in übersichtlicher Form:

  • die Pflichten der für das Privacy Shield zertifizierten Unternehmen und die Rechte der betroffenen Personen;
  • wie Beschwerde gegen zertifizierte Unternehmen erhoben werden kann; sowie
  • die Ombudsstelle als Anlaufstelle für Beschwerden über Personendatenbearbeitungen durch US Behörden.

Weitere Informationen: