Datentransfer von der Schweiz in die USA wird riskant
Die Europäische Union hat das Privacy Shield Abkommen, welches den Datentransfer in die Vereinigten Staaten regelt, für ungültig erklärt. Diese Entscheidung hat Auswirkungen auf ein ähnliches Abkommen in der Schweiz. Laut Datenschutzexperten müssen Schweizer Unternehmen Massnahmen ergreifen um auf die neue Situation zu reagieren.
Mitte Juli hat der Europäische Gerichtshof (EuGH) entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Dieses Abkommen löste 2016 das Safe-Harbor-Abkommen ab. Es regelt den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten. Zum Beispiel, wenn ein Unternehmen die Cloud-Services eines der grossen US-Technologiekonzerne nutzt. Im Rahmen dieses transatlantischen "Datenschutzschildes" vertrat die EU die Auffassung, dass die USA ein angemessenes Datenschutzniveau gewährleistet. Der österreichische Aktivist Maximillian Schrems reichte dagegen Klage ein. Schrems stand bereits hinter der Ungültigkeitserklärung des Safe-Harbor-Abkommens im Jahr 2015. Die jüngste Entscheidung des Europäischen Gerichtshofs hat nun auch die Gültigkeit der neuen Vereinbarung aufgehoben.
Das Privacy-Shield-Abkommen wurde wegen Nichteinhaltung der Allgemeinen Datenschutzverordnung (GDPR) für ungültig erklärt. Der EuGH ist der Auffassung, dass die innerstaatlichen Aufsichtsprogramme der USA nicht auf das unbedingt Notwendige beschränkt sind. Der Gerichtshof stellt ferner fest, dass die Vereinbarung für den Fall eines Rechtsstreits, "kein Rechtsmittel vor einer Stelle vorsieht, die Garantien bietet, die den nach dem Unionsrecht geforderten Garantien im Wesentlichen gleichwertig sind".
Auch der Schweizer Privacy Shield ist hinfällig
In der Schweiz ist seit 2017 ein ähnliches Abkommen in Kraft. Nach Ansicht mehrerer Schweizer Datenschutzexperten ist dieses Abkommen nun null und nichtig. "Was nach dem EuGH-Urteil für den Europäischen Datenschutzschild gilt, sollte auch für den Schweizer Datenschutzschild gelten", sagt Rechtsanwalt François Charlet. Für Sylvain Métille, einen Partner der HDC-Studie, "ist trotz der (zumindest vorläufig) ausbleibenden Reaktion des Eidgenössischen Datenschutzbeauftragten und des Bundesrates der Schutzschild zwischen der Schweiz und den Vereinigten Staaten nicht mehr zuverlässig, und jedes Schweizer Gericht würde zu den gleichen Schlussfolgerungen kommen wie der CJEU".
Was sollten Unternehmen tun?
In diesem Zusammenhang werden Schweizer Unternehmen ermutigt die Führung zu übernehmen. Die Vereinigung Schweizerischer Datenschutzbeauftragter (ASDPO) empfiehlt betroffenen Organisationen einen anderen Mechanismus zur Regelung des Datentransfers in die USA einzusetzen. Zum Beispiel Standardvertragsklauseln oder verbindliche Unternehmensregeln.
"Beachten Sie jedoch, dass die Standardvertragsklauseln gegenüber US-Unternehmen, die dem Aufsichtsrecht unterliegen, nicht gültig zu sein scheinen. Dieses Risiko muss daher in Zukunft bei der Auswahl eines Dienstleisters sorgfältig abgewogen werden", betont die ASDPO. Auch Sylvain Métille empfiehlt sich nicht auf Standardvertragsklauseln für Daten die in die USA gesendet werden zu verlassen. Aber nicht alle Experten teilen seine Meinung.