abstract texture

Swiss-US Privacy Shield ungültig

  • Alberto Job, Director |

Nun ist es soweit. Wie erwartet hat am 8. September 2020 der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) dem Swiss-US Privacy Shield Regime die Anerkennung als Grundlage für einen angemessenen Datenschutz für die Datenbekanntgabe von der Schweiz an die USA abgesprochen.

Damit zieht der EDÖB mit dem Entscheid vom 16. Juli 2020 des Europäischen Gerichtshofs (EuGH) gleich, indem der EuGH die Anerkennung der EU-Kommission des Privacy Shields Abkommens zwischen den USA und der EU als gleichwertiger Datenschutz gemäss Art. 45 Abs. 1 Datenschutzgrundverordnung (DSGVO) widerspricht und somit als ungültig erklärt hat.

Schweizer Unternehmen müssen jetzt handeln: was sind die nächsten Schritte?

Dieser Entscheid hat damit unmittelbar zur Folge, dass auch eine Verarbeitung von Personendaten von Unternehmen aus der Schweiz in den USA gestützt auf dem Swiss-US Privacy Shield nicht mehr möglich ist.

Schweizer Unternehmen müssen nun ohne Verzug prüfen (1) ob sie Personendaten in den USA verarbeiten und (2) auf welcher gesetzlichen Grundlage sie dies tun. Werden Personendaten in den USA verarbeitet und basiert der Transfer der Daten in die USA auf der Swiss-US Privacy Shield Regelung, so muss die Datenverarbeitung auf eine neue Grundlage gestellt werden. Kurzfristig ist die Verwendung der vertraglichen Bestimmungen der EU («EU Standardvertragsklauseln» zu empfehlen, denn diese sind vom EDÖB als gleichwertig anerkannt.

Drohende mittelfristige Auswirkungen

In Erinnerung zu rufen ist jedoch die Anmerkung im EuGH-Entscheid, dass die nationalen Aufsichtsbehörden die Verwendung von «EU Standardvertragsklauseln» als ungenügend erachten dürfen, falls die Aufsichtsbehörden begründete Zweifel haben, dass die in den «EU Standardvertragsklauseln» gemachten Zusicherungen auch durchsetzbar sind. Es besteht somit die nicht zu unterschätzende Gefahr, dass zumindest in gewissen Ländern der EU auch diese rechtliche Grundlage für eine Personendatenverarbeitung in den USA wegfallen wird. Die Schweiz wird auch einem solchen Entscheid rasch folgen, womit diese Gefahr auch unmittelbar Schweizer Unternehmen drohen.

Sehr viele US-Unternehmen, die Personendaten für Schweizer und Europäische Unternehmen verarbeiten, bieten heute schon an, dass die Verarbeitung der Personendaten auch auf Europäischen Servern erfolgen kann. Solche Optionen sind ernsthaft zu prüfen. Auch beim Einkauf neuer Systeme ist auf eine Verarbeitung von Personendaten in einem Land mit adäquatem Datenschutz zur Europäischen Regelung zu achten – bzw. dürfen die Personendaten mindestens nicht der (vermeintlichen) Willkür lokaler Behörden ausgesetzt werden. Ist dies nicht möglich, sind weitere Massnahmen zum Schutz der Personendaten ernsthaft zu prüfen. Solche weiteren Massnahmen können in der Gesamtheit aller Massnahmen zu einem angemessenen Schutz auch in den Augen der Aufsichtsbehörden führen und damit die Verarbeitung von Personendaten in den USA ermöglichen.

Unsere Dienstleistungen und weitere Informationen