USA bieten kein angemessenes Schutzniveau für Schweizer Daten
Hinweise für Schweizer Firmen
Lobsiger liefert in seiner Stellungnahme nützliche Hinweise für Schweizer Unternehmen. Er empfiehlt bei künftigen Übermittlungen in nicht gelistete Staaten – zu denen nun also auch die USA gehören – zunächst, die geforderte Einzelfallprüfung vom Datenexporteur durchzuführen. Stützt sich die Datenbekanntgabe auf vertragliche Garantien wie die SCC i.S.v. Art. 6 Abs. 2 lit. a DSG, dann ist laut dem Edöb eine Risikoabschätzung vorzunehmen. Dabei müsse der Exporteur prüfen, ob die Klauseln die im nicht gelisteten Staat bestehenden datenschutzrechtlichen Risiken abdecken. Gegebenenfalls seien die Klauseln zu ergänzen.
Wie Lobsiger weiter schreibt, ist bei der Prüfung der datenschutzrechtlichen Risiken insbesondere relevant, ob die Daten an ein Unternehmen geliefert werden, das besonderen Zugriffen der Behörden im Zielland unterworfen ist. Weiter sei zu prüfen, ob die ausländische Empfängerpartei berechtigt und in der Lage sei, die zur Durchsetzung der schweizerischen Datenschutzgrundsätze nötige Mitwirkung zu leisten. Falls nicht, liefen die in den Standardvertragsklauseln vorgesehenen Mitwirkungspflichten ins Leere. Dann müsse man technische Massnahmen prüfen, die den Behördenzugriff auf die übermittelten Personendaten im Zielland faktisch verhindern.
Verschlüsselung der Daten als mögliche Lösung
Bei der Datenhaltung im Sinne eines reinen Cloud-Betriebs durch Dienstleister in einem nicht gelisteten Staat ist dem Edöb zufolge beispielsweise eine Verschlüsselung denkbar, die nach den Prinzipien BYOK (bring your own key) und BYOE (bring your own encryption) umgesetzt ist. So liegen im Zielland keine Klardaten vor und der Dienstleister hat keine Möglichkeit, die Daten selbst aufzuschlüsseln, schreibt Lobsiger. Bei Dienstleistungen, die über die reine Datenhaltung im Zielland hinausgehen, gestalte sich der Einsatz solcher technischen Massnahmen hingegen als anspruchsvoll, schreibt Lobsiger weiter. Falls solche Massnahmen nicht möglich sind, empfiehlt der Edöb laut eigenen Angaben auf die Übermittlung von Personendaten in den nicht gelisteten Staat gestützt auf vertragliche Garantien zu verzichten.
USA nicht mehr auf Liste
Gestützt auf das Bundesgesetz über den Datenschutz (DSG) hat der Edöb in seiner Staatenliste den Verweis auf einen «angemessenen Datenschutz unter bestimmten Bedingungen» für die USA gestrichen. Die Liste dient als Hilfsmittel für Schweizer Datenexporteure. Sie ist eine generelle behördliche Einschätzung über das in den dort aufgeführten Ländern herrschende Datenschutzniveau.
Die Liste entbindet Datenexporteure nicht von der Pflicht, das vermutete Schutzniveau bei Vorliegen von Anhaltspunkten für Datenschutzrisiken im konkreten Fall zu hinterfragen und Schutzmassnahmen zu veranlassen oder gar gänzlich vom Export abzusehen.
Lobsiger wies im Gespräch darauf hin, dass zusätzliche technische Massnahmen für alle Staaten mit intransparenten Behörden die Standardvertragsklauseln ergänzen sollten. Dies betreffe beispielsweise autoritäre Staaten in Asien. Dabei gehe es nicht darum, den Zugriff von Strafrichtern zu verhindern, sondern Schutzrechte gegen intransparente Behördenzugriffe zu gewährleisten.
Die Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten mit den ausführlichen Erklärungen zu seinem Entscheid steht unter diesem Link zum Download bereit.