«Privacy Shield»: Schutzmassnahmen für den Datentransfer in die USA

Nachdem der EU-Gerichtshof (EuGH) im Juli 2020 das Datenschutzabkommen «Privacy-Shield» zwischen der EU und den USA für ungültig erklärt hatte, zog der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) im Herbst nach: Er stellte fest, dass die Vereinigten Staaten auch für Schweizer Personendaten kein ausreichendes Schutzniveau bieten (Computerworld berichtete). Die Standardvertragsklauseln reichen ihm zufolge ebenfalls nicht aus.

Hiesige Firmen, die Daten in ein Rechenzentrum oder eine Tochterfirma in den USA transferieren, müssen sich daher neu vertraglich zusätzlich absichern. Laut der Zürcher Datenschützerin Dominika Blonski gilt das auch für öffentliche Organe des Kantons Zürich. Bei der Nutzung von Cloud-Diensten, die einen Transfer von Personendaten in die USA beinhalten, müssten diese nun «mit einer Kombination von rechtlichen und organisatorisch-technischen Massnahmen einen angemessenen Schutz sicherstellen» – auch wenn die Standardvertragsklauseln in Anspruch genommen werden. Verschieden Stellen würden derzeit entsprechende Lösungsansätze erarbeiten, schreibt sie in einem Communiqué.

Zum Schutz der Personendaten beim Export in die USA nennt Blonski mögliche Massnahmen wie:

• die Vereinbarung schweizerischen Rechts und eines schweizerischen Gerichtsstands
• die Verschlüsselung, wobei der Schlüssel beim öffentlichen Organ liegt (Hold Your Own Key)
• Pseudonymisierung der Personendaten
• die Nutzung einer hybriden Cloud, also einer Mischung aus einer lokalen und einer öffentlichen Cloud, insbesondere bei Daten, die unter speziellen Geheimnispflichten stehen (medizinische Daten, Steuerdaten, Daten aus dem Sozialhilfebereich)
• die Speicherung aller Daten im europäischen Raum, also kein Transfer in Länder mit nicht angemessenem Datenschutzniveau. Kann diese Anforderung nicht erfüllt werden, muss laut der Datenschützerin vollständige Transparenz über die übermittelten Daten bestehen
• eine vertragliche Vereinbarung, dass Zugriffe aus Ländern mit nicht angemessenem Datenschutzniveau nur mit Einwilligung des öffentlichen Organs erfolgen
• die Erweiterung der vertraglichen Bestimmungen respektive der Standardvertragsklauseln

Die Zürcher Datenschutzbeauftragte Blonski will weitere zur Angelegenheit neue Informationen liefern, sobald neue Erkenntnisse vorliegen oder sich die Rechtslage ändert, heisst es im Communiqué abschliessend.