Das Datenschutzniveau in den USA ist auch nach Ansicht des Eidgenössischen Datenschutz-  und Öffentlichkeitsbeauftragten nicht ausreichend. Schweizer Firmen, die Daten in ein Rechenzentrum oder eine Tochterfirma in den USA transferieren, müssen sich daher neu vertraglich zusätzlich absichern.

Die Datenschutzvereinbarung «Privacy Shield» ist ein separates unilaterales Angebot der USA an die EU und die Schweiz. Darin ist festgehalten, dass wichtige Grundsätze des Schweizer Datenschutzes und der Datenschutz von Schweizer Konsumenten von zertifizierten US-Unternehmen eingehalten werden. Dabei geht es unter anderem um das Recht auf Information oder Löschung. 

Mitte Juli hatte der EU-Gerichtshof (EuGH) im Rechtsstreit des österreichischen Juristen und Aktivisten Max Schrems gegen Facebook diese Datenschutzvereinbarung zwischen der EU und den USA für ungültig erklärt (Computerworld berichtete). Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Mass begrenzt, betonten die Richter. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen. 

Damals hiess es vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb), dass das EuGH-Urteil für die Schweiz nicht direkt anwendbar sei. Nach einer vertieften Analyse ist der Edöb nun zum Schluss gekommen, dass es diesbezüglich keinen Unterschied in der Interpretation zwischen dem EU-Recht und dem Schweizer Recht gibt.

Die EU habe eine gleichartige Datenschutzgesetzgebung wie die Schweiz. Die aktuelle Information diene der Rechtssicherheit, erklärte der Datenschutzbeauftragte Adrian Lobsiger am Dienstag auf Anfrage der Nachrichtenagentur Keystone-SDA. 

Nach dem EuGH-Entscheid vom Juli genügt es für den Export von Personendaten in der EU nicht mehr,  wenn US-Firmen gemäss dem «Privacy Shield» zertifiziert sind. Es braucht neu zusätzliche Garantien, insbesondere Standard-Vertragsklauseln.

Das Gleiche gilt nun für Schweizer Firmen, wenn sie Daten in ein Rechenzentrum oder eine Tochtergesellschaft in den USA transferieren. Es braucht neu besondere Schutzrechte. Alle Schweizer Unternehmen müssen diese in Vertragsklauseln zusätzlich absichern.

Der Datenschutzbeauftragte steht, wie Lobsiger erklärte, Unternehmen dabei als Service Public beratend zur Seite. Viele Unternehmen hätten allerdings bereits bisher diese zusätzlichen Klauseln verwendet, wenn sie nicht hätten ausschliessen können, dass bei der Datenübermittlung in die USA auch Daten von EU-Bürgern exportiert worden seien.

Lobsiger liefert in seiner Stellungnahme nützliche Hinweise für Schweizer Unternehmen. Er empfiehlt bei künftigen Übermittlungen in nicht gelistete Staaten – zu denen nun also auch die USA gehören – zunächst, die geforderte Einzelfallprüfung vom Datenexporteur durchzuführen. Stützt sich die Datenbekanntgabe auf vertragliche Garantien wie die SCC i.S.v. Art. 6 Abs. 2 lit. a DSG, dann ist laut dem Edöb eine Risikoabschätzung vorzunehmen. Dabei müsse der Exporteur prüfen, ob die Klauseln die im nicht gelisteten Staat bestehenden datenschutzrechtlichen Risiken abdecken. Gegebenenfalls seien die Klauseln zu ergänzen.

Wie Lobsiger weiter schreibt, ist bei der Prüfung der datenschutzrechtlichen Risiken insbesondere relevant, ob die Daten an ein Unternehmen geliefert werden, das besonderen Zugriffen der Behörden im Zielland unterworfen ist. Weiter sei zu prüfen, ob die ausländische Empfängerpartei berechtigt und in der Lage sei, die zur Durchsetzung der schweizerischen Datenschutzgrundsätze nötige Mitwirkung zu leisten. Falls nicht, liefen die in den Standardvertragsklauseln vorgesehenen Mitwirkungspflichten ins Leere. Dann müsse man technische Massnahmen prüfen, die den Behördenzugriff auf die übermittelten Personendaten im Zielland faktisch verhindern.

Bei der Datenhaltung im Sinne eines reinen Cloud-Betriebs durch Dienstleister in einem nicht gelisteten Staat ist dem Edöb zufolge beispielsweise eine Verschlüsselung denkbar, die nach den Prinzipien BYOK (bring your own key) und BYOE (bring your own encryption) umgesetzt ist. So liegen im Zielland keine Klardaten vor und der Dienstleister hat keine Möglichkeit, die Daten selbst aufzuschlüsseln, schreibt Lobsiger. Bei Dienstleistungen, die über die reine Datenhaltung im Zielland hinausgehen, gestalte sich der Einsatz solcher technischen Massnahmen hingegen als anspruchsvoll, schreibt Lobsiger weiter. Falls solche Massnahmen nicht möglich sind, empfiehlt der Edöb laut eigenen Angaben auf die Übermittlung von Personendaten in den nicht gelisteten Staat gestützt auf vertragliche Garantien zu verzichten.

Gestützt auf das Bundesgesetz über den Datenschutz (DSG) hat der Edöb in seiner Staatenliste den Verweis auf einen «angemessenen Datenschutz unter bestimmten Bedingungen» für die USA gestrichen. Die Liste dient als Hilfsmittel für Schweizer Datenexporteure. Sie ist eine generelle behördliche Einschätzung über das in den dort aufgeführten Ländern herrschende Datenschutzniveau. 

Die Liste entbindet Datenexporteure nicht von der Pflicht, das vermutete Schutzniveau bei Vorliegen von Anhaltspunkten für Datenschutzrisiken im konkreten Fall zu hinterfragen und Schutzmassnahmen zu veranlassen oder gar gänzlich vom Export abzusehen. 

Lobsiger wies im Gespräch darauf hin, dass zusätzliche technische Massnahmen für alle Staaten mit intransparenten Behörden die Standardvertragsklauseln ergänzen sollten. Dies betreffe beispielsweise autoritäre Staaten in Asien. Dabei gehe es nicht darum, den Zugriff von Strafrichtern zu verhindern, sondern Schutzrechte gegen intransparente Behördenzugriffe zu gewährleisten.

Die Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten mit den ausführlichen Erklärungen zu seinem Entscheid steht unter diesem Link zum Download bereit.