08/2020 – Fachartikel Swiss Infosec AG
Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) den EU–US Privacy Shield – wie bereits fünf Jahre zuvor seinen Vorgänger Safe Harbor – für ungültig erklärt. Die Standardvertragsklauseln sind hingegen weiterhin gültig – aber Vorsicht ist geboten!
Vereinfacht dargestellt, hat der EuGH– bereits zum zweiten Mal – festgestellt bzw. geurteilt, dass die Daten von EU-Bürgern in den USA nicht ausreichend geschützt sind, weil durch den EU–US Privacy Shield, auf dessen Grundlage die Datenübermittlung aus der EU in die USA bisher möglich war, die Grundrechte der EU-Bürger nicht ausreichend gewahrt sind. Dies liegt zum einen an der anlasslosen Massenüberwachung, die nach Feststellung des EuGH in den USA stattfindet, zum anderen beständen aus Sicht des EuGH auch keine (ausreichenden) Rechtsschutzmöglichkeiten für EU-Bürger resp. nicht amerikanische Staatsbürger gegen diese Massenüberwachung.
Das EuGH-Urteil stellt damit (vorerst) zumindest für europäische Unternehmen erhebliche Herausforderungen im Bereich der Datenschutz-Compliance dar. Seit dem Urteilsspruch lässt sich nämlich keine Datenübermittlung (die eigene oder die der beauftragten Dienstleister) aus der EU in die USA mehr auf den EU–US Privacy Shield stützen. Darin sind sich alle Datenschutzaufsichtsbehörden einig – nur nicht die britische Aufsichtsbehörde ICO, diese erlaubt britischen Unternehmen bis zur Veröffentlichung einer neuen Orientierungshilfe das Privacy Shield für US-Datenübermittlungen weiterhin zu nutzen! Erfolgt in den übrigen Fällen dennoch eine Datenübermittlung gestützt auf den EU–US Privacy Shield, so ist diese, sofern nicht andere Rechtfertigungsgründe vorliegen, rechtswidrig. Streng juristisch betrachtet wäre die Datenübermittlung in die USA sofort einzustellen. Unternehmen, die sich allein auf den EU-US Privacy Shield verlassen haben, müssen somit eine andere Lösung finden bzw. auf andere Transfermechanismen umstellen.
Wird eine Datenübermittlung in die USA nicht auf den EU–US Privacy Shield gestützt, so ist zu prüfen, auf welche andere Rechtsgrundlage die Datenübermittlung gestützt wird bzw. gestützt werden kann, zum Beispiel die Standardvertragsklauseln. Diese hat der EuGH für grundsätzlich wirksam erachtet, und zwar vor dem Hintergrund, dass diese aus Sicht des EuGH im Gegensatz zum EU–US Privacy Shield eine hinreichende Flexibilität in der Implementierung erlauben und somit ein gleichwertiges Datenschutzniveau im Einzelfall erlauben können. Dabei stellt der EuGH insbesondere darauf ab, dass der Empfänger im Drittland, der die Daten übermittelt bekommt, den Datenexporteur informieren muss, wenn er seine Verpflichtungen aus den Standardvertragsklauseln nicht (mehr) einhalten kann, infolgedessen muss der Datenverkehr eingestellt werden.
Wer das EuGH-Urteil nun korrekt umsetzen will, muss jede auf die Standardvertragsklauseln gestützte Datenübermittlung einer Einzelfallprüfung unterziehen und klären, ob die Standardvertragsklauseln ein adäquates Datenschutzniveau herstellen. Falls nein, müssen die in den Standardvertragsklauseln enthaltenen Garantien ergänzt werden. Bei der Frage, was und wie ergänzt werden kann, gibt der EuGH keine Massstäbe vor, ausser dass er sowohl vertragliche als auch technische Massnahmen erwartet. Man darf (und muss) also kreativ werden. Das Ergebnis einer solchen Einzelfallprüfung sollte in jedem Fall dokumentiert werden.
Als weitere Handlungsalternativen (an Stelle der Einzelevaluierung von Standardvertragsklauseln, oder falls eine Einzelfallprüfung zum Ergebnis führt, dass auch Zusatzmassnahmen die Standardvertragsklauseln nicht «retten» können), kommen (je nach Fall) in Frage:
- Alternative Rechtfertigung über Art. 49 DSGVO (Ausnahmen für bestimmte Fälle wie etwa Einwilligung, Vertragserfüllung etc.);
- Binding Corporate Rules (BCR), solang keine abweichende Entscheidung. Die gilt allerdings nur für konzerninterne Datenübermittlungen und braucht Zeit und Aufwand;
- In einigen Fällen ist auch eventuell denkbar, die Datenübermittlung als solche einzustellen, d.h. die Daten aus dem Drittland zurückzuholen;
- Im Übrigen bleibt abzuwarten, wie sich in den kommenden Wochen und Monaten die Datenschutzbehörden (weiter) positionieren. Wir empfehlen die Aktivitäten der zuständigen Behörden zu beobachten.
Kurz: Der EU–US Privacy Shield ist seit dem 16. Juli 2020 unwirksam und die Standardvertragsklauseln können vorbehaltlich einer Einzelfallprüfung weiterhin genutzt werden. Daneben gibt es noch massgeschneiderte Lösungen im Einzelfall.
Auswirkungen auf die Schweiz
Für die Schweiz kann die Tragweite des EuGH-Urteils noch nicht abschliessend beurteilt werden. Schweizer Unternehmen, die der Datenschutzgrundverordnung (DSGVO) unterstehen, sind direkt vom Urteil betroffen. Schweizer Unternehmen, die nicht der DSGVO unterstehen, sind vom Urteil nicht unmittelbar betroffen, denn die Schweizer Anerkennung des SWISS-US Privacy Shield ist nicht direkt vom Urteil tangiert. Diese Anerkennung bleibt vorerst rechtsgültig. Vielfach wird aber angenommen, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hier in den nächsten Tagen/Wochen nachziehen wird. Hektischen Aktivismus oder Panik halten wir für den falschen Ansatz, aber mindestens eine Bestandesaufnahme und Evaluation stattfindender Datentransfers mit US-Bezug dürfte angebracht sein. Viele Unternehmen werden auch ihre Datenschutzerklärungen anpassen müssen.
Gerne beantworten wir all Ihre spezifischen Fragen zu den Auswirkungen des Schrems II Urteils und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»
Swiss Infosec AG; 30.07.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch