Evaluation des Edöb 08.09.2020, 12:27 Uhr

USA bieten kein angemessenes Schutzniveau für Schweizer Daten

Im Juli wurde die Datenschutzvereinbarung zwischen den USA und der EU aufgelöst. Nun streicht auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte die USA von der Liste der Staaten mit angemessenem Datenschutz – und gibt Hinweise für Schweizer Firmen.
Adrian Lobsiger, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, hat die USA von der Liste der Staaten mit angemessenem Schutz für Schweizer Daten gestrichen
(Quelle: Archiv Computerworld)
Das Datenschutzniveau in den USA ist auch nach Ansicht des Eidgenössischen Datenschutz-  und Öffentlichkeitsbeauftragten nicht ausreichend. Schweizer Firmen, die Daten in ein Rechenzentrum oder eine Tochterfirma in den USA transferieren, müssen sich daher neu vertraglich zusätzlich absichern.
Die Datenschutzvereinbarung «Privacy Shield» ist ein separates unilaterales Angebot der USA an die EU und die Schweiz. Darin ist festgehalten, dass wichtige Grundsätze des Schweizer Datenschutzes und der Datenschutz von Schweizer Konsumenten von zertifizierten US-Unternehmen eingehalten werden. Dabei geht es unter anderem um das Recht auf Information oder Löschung. 
Mitte Juli hatte der EU-Gerichtshof (EuGH) im Rechtsstreit des österreichischen Juristen und Aktivisten Max Schrems gegen Facebook diese Datenschutzvereinbarung zwischen der EU und den USA für ungültig erklärt (Computerworld berichtete). Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Mass begrenzt, betonten die Richter. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen. 
Damals hiess es vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb), dass das EuGH-Urteil für die Schweiz nicht direkt anwendbar sei. Nach einer vertieften Analyse ist der Edöb nun zum Schluss gekommen, dass es diesbezüglich keinen Unterschied in der Interpretation zwischen dem EU-Recht und dem Schweizer Recht gibt.

Zusätzliche Vertragsklauseln notwendig 

Die EU habe eine gleichartige Datenschutzgesetzgebung wie die Schweiz. Die aktuelle Information diene der Rechtssicherheit, erklärte der Datenschutzbeauftragte Adrian Lobsiger am Dienstag auf Anfrage der Nachrichtenagentur Keystone-SDA. 
Nach dem EuGH-Entscheid vom Juli genügt es für den Export von Personendaten in der EU nicht mehr,  wenn US-Firmen gemäss dem «Privacy Shield» zertifiziert sind. Es braucht neu zusätzliche Garantien, insbesondere Standard-Vertragsklauseln.
Das Gleiche gilt nun für Schweizer Firmen, wenn sie Daten in ein Rechenzentrum oder eine Tochtergesellschaft in den USA transferieren. Es braucht neu besondere Schutzrechte. Alle Schweizer Unternehmen müssen diese in Vertragsklauseln zusätzlich absichern.
Der Datenschutzbeauftragte steht, wie Lobsiger erklärte, Unternehmen dabei als Service Public beratend zur Seite. Viele Unternehmen hätten allerdings bereits bisher diese zusätzlichen Klauseln verwendet, wenn sie nicht hätten ausschliessen können, dass bei der Datenübermittlung in die USA auch Daten von EU-Bürgern exportiert worden seien.


Das könnte Sie auch interessieren