Gemäss dem Europäischen Gerichtshof (EuGH) sicherte der Privacy Shield die gemäss Datenschutz-Grundverordnung geforderten Rechte und Pflichten ungenügend ab – der Privacy Shield gilt ergo seit dem 16. Juli 2020 nicht mehr als genügende rechtliche Grundlage für den Austausch von Personendaten zwischen der EU und den USA. Der Eidgenössische Datenschutzbeauftragte (Edöb) hat in der Zwischenzeit nachgezogen und die Haltung des EuGHs gestützt und den Privacy Shield ebenfalls für datenschutzrechtlich ungenügend erklärt.

Das European Data Protection Board (EDPB) ver­öffentlichte am 11. November 2020 seine Empfehlungen zum internationalen Datentransfer, um die negativen Folgen des EuGH-Entscheids abzufedern: Die Empfehlung beinhaltet einen Sechs-Stufen-Plan zur Bewertung und zum Schutz des globalen Datenflusses gemäss DSGVO. Handlungsbedarf ist auch für Schweizer Firmen gegeben. Nachfolgend die wichtigsten Fakten und Empfehlungen.

Am 16. Juli 2020 kippte der EuGH mit seinem Entscheid «Schrems II» (Urteil C-311/18 des EuGH vom 16. 7. 2020 i. S. Maximilian Schrems c. Facebook Ireland und Data Protection Commissionar of Ireland) den sogenannten EU-US-Privacy-Shield, indem er zum Schluss kam, dass die USA nicht über ein adäquates Datenschutzniveau verfügen.

Den US-Behörden stehe eine umfassende und anlasslose staatliche Massenüberwachung von US- wie auch EU-Bürgern zur Verfügung, lautet das Urteil. Gemäss EuGH ist zudem problematisch, dass eine gerichtliche Kontrolle dieser Überwachung und Datenverarbeitung insbesondere für Nicht-US-Bürger nicht beziehungsweise nur eingeschränkt möglich ist respektive fehlt, da der Privacy Shield keine entsprechenden Vorkehrungen vorsieht. Zufolge fehlender Unabhängigkeit abgelehnt und als ungenügend bezeichnet hat der EuGH die Stelle der Ombudsperson.

Am 8. September 2020 schloss sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) der Auffassung des EuGHs an und erklärte, dass der Privacy Shield CH-USA kein adäquates Datenschutzniveau garantiere. Die Rechtslage bei internationalen Datentransfers ist deshalb derzeit von grosser Unsicherheit geprägt.

Datentransfers in die USA sind zurzeit heikel und müssen verschiedenen Prüfungen unterzogen werden: Es müssen Voraussetzungen erfüllt sein, um den datenschutzrechtlichen Anforderungen im Sinne des EuGH Genüge zu tun. Die Weitergabe kann sich entweder auf Standardvertragsklauseln oder verbindliche Unternehmensregeln (Corporate Binding Rules, von den Datenschutzbehörden zu genehmigen) abstützen.

Der Europäische Datenschutzausschuss (EDSA) wendet sich mit einem Stufenplan direkt an die betroffenen Unternehmungen und zeigt die nötigen Vorkehrungen auf, die zu treffen sind, wenn personenbezogene Daten in Drittstaaten ausserhalb der EU oder des EWR übermittelt werden sollen. Es muss im Einzelfall geprüft werden, ob die getroffenen Massnahmen genügen, um den datenschutzrechtlichen Ansprüchen nachzukommen. Im Vordergrund steht das Wissen um die Transfers von personenbezogenen Daten von respektive in ein Unternehmen und die Implementierung konkreter Massnahmen zum Schutz der personenbezogenen Daten. Reine Vertragszusätze ohne weitere Massnahmen genügen meist nicht.

Die Erfahrung der letzten Monate hat gezeigt, dass diese Abwägungen schwierig zu machen und umzusetzen sind: Wann genau wurde rechtsgenüglich abgeklärt, dass ein ausreichendes Datenschutzniveau garantiert ist? Wie kann die datenschutzrechtliche Situation zwischen Parteien verbessert werden und was gilt gegenüber Behörden, da es sich bei allen Lösungsansätze in erster Linie um vertragliche Lösungen handelt?

In seinen Empfehlungen konkretisiert der EDSA einen Sechs-Stufen-Plan von zusätzlichen Schutzmassnahmen, um ein genügendes Datenschutzniveau zu gewährleisten.

Als Grundregel gilt: Datenexporteure müssen über ihre Datentransfers Bescheid wissen und diese dokumentieren («know your transfers»), indem sie diese aufzeichnen und mitverfolgen. Damit ist der effektive Datentransfer zu prüfen, zu dokumentieren und zu managen, inklusive der Datenflüsse betreffend Kooperationen, Auftragsverarbeitungsverhältnissen oder eingeschalteten Subdienstleistern. Es genügt ergo nicht, die Verarbeitung von Personen­daten ausserhalb der EU im Rahmen des Verfahrens­verzeichnisses aufzulisten. Weitere Informationen müssen erfasst und gemanagt werden. Ohne detaillierte Beschreibungen der Datenbearbeitung – auch seitens der Subunternehmer – lassen sich die weiteren juristischen und risikobasierten Abklärungen jedoch nicht vornehmen.

Dies ist eine Herkulesaufgabe, sie lässt sich im jetzigen Umfeld jedoch nicht vermeiden. Wer Personendaten mit den USA oder anderen Dritt­ländern ausserhalb des EU-Raums austauscht, muss diese Arbeiten angehen, dokumentieren und umsetzen. Stellt sich der Vertragspartner quer, müssen auch weitere Schritte in Betracht gezogen werden (Eingrenzung des Austauschs von Personendaten mit dem Lieferanten/Kunden, anderen Lieferanten etc.). Je kritischer die auszutauschenden Personendaten sind, desto umfassender muss die Lösung aussehen.

In einem zweiten Schritt müssen die geeigneten Garantien bestimmt und implementiert werden (vgl. Art. 44 ff. DSGVO) wie z. B. die Implementierung von aktualisierten Standardvertragsklauseln, verbindliche Unternehmensregeln (Corporate Binding Rules) und/oder eine Zustimmung des/der Betroffenen im Einzelfall. Die Vereinbarung von Standardvertragsklauseln ist in jedem Fall zu empfehlen bei Datentransfers in Drittländer, die nicht über ein adäquates Datenschutzniveau verfügen (vgl. dazu Liste des Edöb).

In einem dritten Schritt ist zu klären, ob die ausländische Rechtsordnung und deren Praxis die Wirksamkeit der getroffenen Garantien, auf welche sich die Datenübermittlung stützt, gefährden könnte. Zu denken ist etwa an einen umfassenden und unverhältnismässigen Zugriff der Behörden des Drittstaates auf Personendaten. Diese Prüfung ist juristischer, aber auch operationeller Natur und umfasst nicht nur den Partner/Lieferanten/Kunden, sondern auch dessen Sublieferanten etc. Damit ist die Abklärung umfangreich und kann auch nicht ohne Weiteres generell, sondern muss abgestimmt auf die auszutauschenden Personendaten, den konkreten Vertragspartner etc. erfolgen.

Der vierte Schritt stellt das Kernanliegen der EDSA dar und findet Anwendung, wenn die Beurteilung nach Schritt 3 ergibt, dass die Drittlandgesetzgebung und -praxis gewisse Gefahren eines möglichen umfassenden und unverhältnismässigen Eingriffs in die Personendaten der Betroffenen birgt. Danach müssen zusätzliche Massnahmen ermittelt und ergriffen werden, um das Schutzniveau der übermittelten Daten auf den EU-Standard zu bringen.

Allerdings können vertragliche und organisatorische Massnahmen allein den Zugang zu personenbezogenen Daten durch Behörden des Drittstaates nicht verhindern. Einzig die technischen Massnahmen verhindern den Zugang von Behörden zu personenbezogenen Daten in Drittstaaten, insbesondere zu Überwachungszwecken.

Nach Schritt 5 müssen die zusätzlich getroffenen Mass­nahmen zum einen ggf. unter Mitwirkung des Datenimporteurs im Drittland und zum anderen unter Konsultation der zuständigen Aufsichtsbehörden umgesetzt werden.

In einem letzten Schritt wird die regelmässige und fortlaufende Prüfung der getroffenen Massnahmen empfohlen. Auch für die rechtlichen und tatsächlichen Umstände im Drittstaat gilt diese Prüfpflicht. Dies umzusetzen, ist zeit- sowie ressourcenintensiv und entsprechend zu planen.

In einem ersten Schritt sollten die betroffenen Unternehmen abwägen, welche zusätzlichen Massnahmen erfolgsversprechend sind, um die bestehenden Risiken zu reduzieren. Im Fokus steht insbesondere die Verarbeitung von personenbezogenen Daten in den USA, was einen Grossteil der Datenverarbeitung von Unternehmen betrifft. Je nach Kategorie der betroffenen personenbezogenen Daten sind zusätzliche Abklärungen und Vorkehrungen unerlässlich wie beispielsweise bei der Verarbeitung von besonders schützenswerten Personendaten wie Gesundheitsdaten.

In jedem Fall sollten bei Transfers von Personendaten ausserhalb der EU die jeweils aktuellsten Standardvertragsklauseln vereinbart werden. Auch hier gilt, dass vieles im Wandel ist und die Standartvertragsklauseln zurzeit überarbeitet werden. Sobald aktualisiert, sollte die aktuellste Version implementiert und vereinbart werden. Zudem muss überprüft werden, ob das lokale Recht den geschilderten Anforderungen entspricht. Es ist sodann eine Risikoabwägung für die in Frage stehenden Länder vorzunehmen.

Ohne eine umfassende Analyse der Unternehmenssituation kann ein Schweizer Unternehmen den neuen Anforderungen gemäss des Schrems II-Urteils nicht nachkommen. Es ist wichtig, eine Standortbestimmung zu machen, die sechs oben genannten Schritte umzusetzen und dies auch laufend zu überwachen und anzupassen. Untätig zu bleiben ist nicht empfehlenswert und erhöht das Risiko erheblich.