Das aktuell noch geltende Schweizer Datenschutzgesetz (DSG) sieht vor, dass bei Datenübermittlungen in Länder, die aus der Sicht der Schweiz über keinen angemessenen Datenschutz verfügen, zusätzliche Massnahmen ergriffen werden müssen. Ob ein Land über einen angemessenen Datenschutz verfügt, kann der Staatenliste entnommen werden, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Website publiziert. Der EDÖB selbst bezeichnet Länder, die über keinen angemessenen Datenschutz verfügen, als «nicht gelistete Staaten», wozu beispielsweise die USA gehören.
Möchte ein Unternehmen nun Personendaten an einen Empfänger senden, der sich in einem solchen nicht gelisteten Staat befindet, dann konnte es sich bisher vor allem auf die Verwendung der sogenannten «EU-Standardvertragsklauseln» abstützen. Datenübermittlungen in die USA waren zudem ohne weitere Massnahmen möglich, wenn der US-amerikanische Empfänger nach dem sogenannten Swiss-US Privacy Shield zertifiziert war. Dabei handelte es sich, vereinfacht gesagt, um eine Selbstzertifizierung, bei dem das US-amerikanische Unternehmen öffentlich und verbindlich versprechen musste, die Datenschutzgrundsätze zu beachten, die europäischen und schweizerischen Standards entsprechen. Zusätzlich bot das Swiss-US Privacy Shield auch Garantien bei Zugriffen von US-Behörden auf Personendaten von Nicht-US-Bürgern, zur Terrorbekämpfung und für Zwecke der nationalen Sicherheit. Diese beiden möglichen Vorgehensweisen waren für Unternehmen daher in den letzten Jahren wichtige Instrumente, um einen internationalen Datenaustausch mit möglichst wenig Aufwand rechtssicher zu gestalten.
Der EuGH hob in seinem Urteil in Sachen Schrems II am 16. Juli 2020 das EU-US Privacy Shield auf. Zudem hielt der EuGH fest, dass die EU-Standardvertragsklauseln nur mehr nach einer individuellen Risikobeurteilung und einer allfälligen Anpassung eingesetzt werden dürfen. Hintergrund des Urteils ist die Tatsache, dass gemäss EuGH weder das EU-US Privacy Shield, noch die EU-Standardvertragsklauseln einen angemessenen Schutz vor dem Zugriff ausländischer Behörden bieten, da für die betroffenen Personen durchsetzbare Rechtsansprüche fehlen.
Faktisch wurde mit diesem Urteil das EU-US Privacy Shield aufgehoben, womit ab sofort Datenübermittlungen in die USA, die sich ausschliesslich auf das Privacy Shield abstützten, rechtlich unzulässig waren. Die EU-Standardvertragsklauseln dürfen zwar grundsätzlich weiterhin verwendet werden. Vor jeder Verwendung muss aber geprüft werden, ob die darin enthaltenen Klauseln nach dem Recht des Staates, in den die Daten übermittelt werden, überhaupt durchsetzbar sind.
Das EuGH-Urteil hat keine unmittelbaren Auswirkungen auf die Schweiz, da sie nicht Mitglied der EU ist. Der EDÖB prüfte jedoch die Argumente des EuGH und schloss sich in seiner Mitteilung vom 08. September 2020 vollumfänglich dessen Meinung an.
Der EDÖB passte seine Staatenliste an. Datenübermittlungen an Empfänger in den USA, die nach dem Swiss-US Privacy Shield zertifiziert sind, sind nun nicht mehr rechtmässig, da die Empfänger über keinen angemessenen Schutz mehr verfügen. Zudem betont der EDÖB, dass bei einer Verwendung der EU-Standardvertragsklauseln vorgängig eine Risikobeurteilung vorzunehmen ist.
Der EDÖB empfiehlt Schweizer Unternehmen, die einen Datenexport in einen Staat ohne angemessenen Datenschutz vornehmen bzw. planen und dabei die EU-Standardvertragsklauseln verwenden möchten, wie folgt vorzugehen:
In einem ersten Schritt muss geprüft werden, ob die EU-Standardvertragsklauseln die in dem Empfängerstaat bestehenden Datenschutzrisiken abdecken. Bei dieser Risikobeurteilung spielen die Art der übermittelten Daten aber auch die Dienstleistung, die erbracht wird eine grosse Rolle. Wenn nötig, müssen die EU-Standardvertragsklauseln durch zusätzliche Pflichten ergänzt werden. Infrage kommt hier beispielsweise die vertragliche Verpflichtung des Datenempfängers, sich gegen Herausgabebegehren von Behörden mit allen ihm zur Verfügung stehenden rechtlichen Mitteln zur Wehr zu setzen sowie die Pflicht, den Datenexporteur über solche Herausgabebegehren von Behörden zu informieren.
Wenn die Risiken auch mit den ergänzten Klauseln nicht angemessen reduziert werden können, reichen die EU-Standardvertragsklauseln alleine nicht mehr aus. Dies wird vor allem dann der Fall sein, wenn der Datenempfänger speziellen Datenzugriffen von ausländischen Behörden unterworfen ist und er daher aufgrund des für ihn geltenden Rechts die vertraglich zugesicherten Mitwirkungspflichten gar nicht erfüllen kann.
In einem solchen Fall müssen zusätzliche technische und organisatorische Massnahmen ergriffen werden, die den unerwünschten Behördenzugriff faktisch verhindern. Dazu zählen beispielsweise Verschlüsselungsmechanismen, wobei der Datenexporteur die Kontrolle über den Schlüssel oder den Verschlüsselungsmechanismus haben sollte.
Sind auch solche Massnahmen nicht möglich, beispielsweise, weil die im Ausland bezogene Dienstleistung bei einer Verschlüsselung der Daten nicht mehr erbracht werden kann, dann muss auf die Weiterleitung der Daten bzw. auf die konkrete Dienstleistung verzichtet werden.
Für Unternehmen, die regelmässig Personendaten in Staaten ohne angemessenen Datenschutz übermitteln (z.B. weil sie entsprechende Cloud-Lösungen nutzen), ist die derzeitige Rechtslage unbefriedigend. Eine Risikobeurteilung, die die jeweilige Gesetzgebung in den verschiedenen möglichen Empfängerstaaten mitberücksichtigt, kann mit sehr grossem Aufwand verbunden sein. Auch die vom EDÖB ausdrücklich erwähnten Verschlüsselungsmechanismen sind oft praktisch nicht oder nur mit einem grossen Aufwand realisierbar.
Die EU überarbeitet zurzeit die EU-Standardvertragsklauseln und es ist zu erwarten, dass diese in den nächsten Wochen publiziert werden, was für die Zukunft wieder etwas mehr Rechtssicherheit erwarten lässt. Auch die neuen EU-Standardvertragsklauseln werden aber die erwähnten Risikobeurteilungen nicht vollkommen obsolet machen.
Dennoch ist es Schweizer Unternehmen nicht zu empfehlen, untätig zu bleiben. Das zukünftige revidierte DSG sieht vor, dass die Auslagerung von Datenbearbeitungen sowie Datenexporte ins Ausland, die nicht den gesetzlichen Vorgaben entsprechen, strafrechtliche Folgen nach sich ziehen können. Es sollten daher einerseits bestehende Datenexporte geprüft und andererseits beispielsweise bei der Auswahl neuer Dienstleister bewusst auf allfällige Datenexporte in Staaten ohne angemessenen Datenschutz geachtet und diese wenn möglich vermieden werden.