Wegfall des Privacy Shield: Was nun?

Gemäss dem Europäischen Gerichtshof (EuGH) sicherte der Privacy Shield die gemäss Datenschutz-Grundverordnung geforderten Rechte und Pflichten ungenügend ab – der Privacy Shield gilt ergo seit dem 16. Juli 2020 nicht mehr als genügende rechtliche Grundlage für den Austausch von Personendaten zwischen der EU und den USA. Der Eidgenössische Datenschutzbeauftragte (Edöb) hat in der Zwischenzeit nachgezogen und die Haltung des EuGHs gestützt und den Privacy Shield ebenfalls für datenschutzrechtlich ungenügend erklärt.

Das European Data Protection Board (EDPB) ver­öffentlichte am 11. November 2020 seine Empfehlungen zum internationalen Datentransfer, um die negativen Folgen des EuGH-Entscheids abzufedern: Die Empfehlung beinhaltet einen Sechs-Stufen-Plan zur Bewertung und zum Schutz des globalen Datenflusses gemäss DSGVO. Handlungsbedarf ist auch für Schweizer Firmen gegeben. Nachfolgend die wichtigsten Fakten und Empfehlungen.

Am 16. Juli 2020 kippte der EuGH mit seinem Entscheid «Schrems II» (Urteil C-311/18 des EuGH vom 16. 7. 2020 i. S. Maximilian Schrems c. Facebook Ireland und Data Protection Commissionar of Ireland) den sogenannten EU-US-Privacy-Shield, indem er zum Schluss kam, dass die USA nicht über ein adäquates Datenschutzniveau verfügen.

Den US-Behörden stehe eine umfassende und anlasslose staatliche Massenüberwachung von US- wie auch EU-Bürgern zur Verfügung, lautet das Urteil. Gemäss EuGH ist zudem problematisch, dass eine gerichtliche Kontrolle dieser Überwachung und Datenverarbeitung insbesondere für Nicht-US-Bürger nicht beziehungsweise nur eingeschränkt möglich ist respektive fehlt, da der Privacy Shield keine entsprechenden Vorkehrungen vorsieht. Zufolge fehlender Unabhängigkeit abgelehnt und als ungenügend bezeichnet hat der EuGH die Stelle der Ombudsperson.

Am 8. September 2020 schloss sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) der Auffassung des EuGHs an und erklärte, dass der Privacy Shield CH-USA kein adäquates Datenschutzniveau garantiere. Die Rechtslage bei internationalen Datentransfers ist deshalb derzeit von grosser Unsicherheit geprägt.

Datentransfers in die USA sind zurzeit heikel und müssen verschiedenen Prüfungen unterzogen werden: Es müssen Voraussetzungen erfüllt sein, um den datenschutzrechtlichen Anforderungen im Sinne des EuGH Genüge zu tun. Die Weitergabe kann sich entweder auf Standardvertragsklauseln oder verbindliche Unternehmensregeln (Corporate Binding Rules, von den Datenschutzbehörden zu genehmigen) abstützen.

Der Europäische Datenschutzausschuss (EDSA) wendet sich mit einem Stufenplan direkt an die betroffenen Unternehmungen und zeigt die nötigen Vorkehrungen auf, die zu treffen sind, wenn personenbezogene Daten in Drittstaaten ausserhalb der EU oder des EWR übermittelt werden sollen. Es muss im Einzelfall geprüft werden, ob die getroffenen Massnahmen genügen, um den datenschutzrechtlichen Ansprüchen nachzukommen. Im Vordergrund steht das Wissen um die Transfers von personenbezogenen Daten von respektive in ein Unternehmen und die Implementierung konkreter Massnahmen zum Schutz der personenbezogenen Daten. Reine Vertragszusätze ohne weitere Massnahmen genügen meist nicht.

Die Erfahrung der letzten Monate hat gezeigt, dass diese Abwägungen schwierig zu machen und umzusetzen sind: Wann genau wurde rechtsgenüglich abgeklärt, dass ein ausreichendes Datenschutzniveau garantiert ist? Wie kann die datenschutzrechtliche Situation zwischen Parteien verbessert werden und was gilt gegenüber Behörden, da es sich bei allen Lösungsansätze in erster Linie um vertragliche Lösungen handelt?

In seinen Empfehlungen konkretisiert der EDSA einen Sechs-Stufen-Plan von zusätzlichen Schutzmassnahmen, um ein genügendes Datenschutzniveau zu gewährleisten.