Swiss–US Privacy Shield für ungenügend erklärt. Was jetzt?
Seit Anfang September steht fest: Der Swiss–US Privacy Shield stellt für Datenübermittlungen von Schweizer Unternehmen in die USA keine geeignete Garantie mehr dar. Die Aufregung ist gross. Es lohnt sich, überlegt und nüchtern vorzugehen.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kommt in seiner am 8. September 2020 publizierten Stellungnahme zum Schluss, dass das Swiss–US Privacy Shield keine geeignete Basis für die Übermittlung von Personendaten in die USA mehr ist. Schweizer Unternehmen durften bisher davon ausgehen, dass eine Übermittlung von Personendaten an amerikanische Unternehmen ohne weitere Garantien erfolgen kann, sofern eine Swiss–US Privacy Shield-Zertifizierung vorhanden ist. Diese Vermutung fällt nun weg. Wir raten Schweizer Unternehmen zu einem überlegten und nüchternen Vorgehen in drei Schritten:
1. Überblick verschaffen
Finden Übermittlungen von Personendaten an Unternehmen in Länder statt, die gemäss Staatenliste des EDÖB kein genügendes Schutzniveau bieten? Grob umrissen sind dies sämtliche Länder ausserhalb der EU und des EWR, mit Ausnahme von Argentinien, Kanada, Neuseeland, Uruguay, dem Vereinigten Königreich und Israel.
2. Prüfung alternativer Garantien
Haben sich Datenübermittlungen von Schweizer Unternehmen an solche in den USA bislang einzig auf das Swiss–US Privacy Shield gestützt? Falls ja, ist eine vertiefte Analyse mit dem Datenimporteur und eine Prüfung alternativer Garantien zu empfehlen.
Die Verwendung von Standardvertragsklauseln als Garantie bleibt eine mögliche Alternative. In gewissen Fällen sind vertiefte und ergänzende Vereinbarungen notwendig.
Die Einwilligung ist in der Praxis als alternative Grundlage wenig geeignet. Sie muss im Einzelfall informiert und freiwillig erfolgen, um gültig zu sein, und kann jederzeit widerrufen werden. Wir raten daher davon ab, sich generell auf Einwilligung als Grundlage für die Übermittlung ins Ausland abzustellen.
3. Vertiefte Risikoanalyse in gewissen Fällen
Verwendet das Schweizer Unternehmen für eine Datenübertragung Standardvertragsklauseln als Garantien, ist in gewissen Fällen eine vertiefte Auseinandersetzung mit den möglichen Risiken für betroffene Personen im Einzelfall angezeigt. Dabei lohnt es sich, besonnen vorzugehen.
Für viele Transfers sind die vom EDÖB als «US-Massenüberwachungsgesetze» bezeichneten Gesetze (insbesondere FISA und EO) gar nicht relevant oder anwendbar. Einer der Gründe dafür kann sein, dass der Empfänger in den USA kein «Electronic Service Provider» ist.
Das Gespräch mit dem Datenimporteur wie auch der Beizug erfahrener Spezialisten, verschafft Klarheit und vermeidet überstürzte Entscheide mit weitreichenden finanziellen Folgen.
Wer sich einen Überblick verschafft, neue Möglichkeiten prüft und Experten beizieht, ist auch mit der neuen Ausgangslage gut aufgestellt. Unsere Advisors arbeiten derzeit an standardisierten Lösungswegen für die üblichen Anwendungsfälle.
- LAUX LAWYERS AG Policy Alert
- Positionspapier Privacy Shield (08.09.2020) (PDF, 206 kB)
- Der Europäische Gerichtshof in Sachen Schrems II (Kolumne «Lex Laux» auf Inside IT, 17.07.2020)
- aspectra bekommt das Gütesiegel «swiss hosting» (aspectra-Blog, 27.08.2020)