Im Juli wurde das Privacy Shield-Abkommen zwischen den USA und der EU für ungültig erklärt, das den Austausch von personenbezogenen Daten zwischen den Ländern regelte. Nun zieht auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte nach und streicht die USA von der Liste der Staaten mit «bedingt angemessenem Datenschutz». Dies hat weitreichende Konsequenzen für Schweizer Firmen.
Nachdem der Europäische Gerichtshof (EuGH) das Privacy Shield-Abkommen für den Datenaustausch zwischen der EU und den USA im Juli für ungültig erklärt hatte, ist heute auch die Schweiz nachgezogen. Der Eidgenössiche Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) stuft das Abkommen ebenfalls für nicht ausreichend ein.
«Das Privacy Shield Regime bietet trotz der Gewährung von besonderen Schutzrechten für Betroffene in der Schweiz kein adäquates Schutzniveau für Datenbekanntgaben von der Schweiz an die USA gemäss Bundesgesetz über den Datenschutz (DSG). Aufgrund dieser auf das schweizerische Recht gestützten Einschätzung hat der EDÖB in der Staatenliste des EDÖB den Verweis auf einen «angemessenen Datenschutz unter bestimmten Bedingungen» für die USA gestrichen.»
Das Vorgänger-Abkommen, genannt Safe Harbor, hatte der EuGH 2016 und im Anschluss die Schweiz ebenfalls bereits abgelehnt, nachdem der österreichische Datenaktivist Max Schrems dagegen geklagt hatte. An den grundlegenden, sich widersprechenden Rechtsordnungen hat sich seit damals nichts geändert: US-Überwachungsprogramme wie PRISM und UPSTREAM unterliegen weiterhin keiner einklagbaren Prüfung der Verhältnismässigkeit, wie dies die Datenschutzgesetze in Europa verlangen.
So hielt der EDÖB in seinen Review-Berichten bereits fest,
- dass für die Betroffenen in der Schweiz bei Datenzugriffen von US-Behörden durchsetzbare Rechtsansprüche fehlen, zumal sich die Wirksamkeit des sog. Ombudsperson-Mechanismus, der einen indirekt durchsetzbaren Rechtsbehelf garantieren soll, mangels Transparenz nicht beurteilen lässt.
- dass die Entscheidkompetenzen der Ombudsperson gegenüber den US-Geheimdiensten sowie ihre tatsächliche Unabhängigkeit ohne hinreichend konkrete und schlüssige Informationen unbelegt bleiben.
Der EuGH hat mit seinem jüngsten Urteil die Anforderungen an die oft alternativ für den Datenaustausch verwendeten sogenannten Standardvertragsklauseln erhöht – und damit den Austausch personenbezogener Daten zwischen den Ländern drastisch erschwert. Auch hier zieht der EDÖB in seinen praktischen Hinweisen für die Schweizer Unternehmen nach:
Sollte sich die Datenbekanntgabe auf vertragliche Garantien […] stützen, ist eine Risikoabschätzung vorzunehmen. […] Bei der Prüfung der datenschutzrechtlichen Risiken ist insbesondere relevant, ob die Daten an ein Unternehmen des nicht gelisteten Staates geliefert werden, das besonderen Zugriffen der dortigen Behörden unterworfen ist. Im Falle der USA ist zu prüfen, ob das betreffende US Unternehmen unter die US Massenüberwachungsgesetze fällt (insbesondere Section 702 FISA und EO 12 333), wie z.B. «Electronic Communication Service Providers».
Im Gegensatz zu 2016, wo nach dem Wegfallen des Safe Harbor-Abkommens der Nachfolger Privacy Shield aus dem Hut gezaubert wurde, dürfte dies nun nicht mehr der Fall sein, auch wenn es die US-Regierung und die EU-Kommission versuchen. In der Zwischenzeit geht Max Schrems bereits gegen 101 europäische Unternehmen vor.