Datenschutz
29.03.2021, 06:15 Uhr
Wegfall des Privacy Shield: Was nun?
Im Sommer 2020 erklärte der Europäische Gerichtshof in einem wegweisenden Entscheid den sogenannten Privacy Shield für nicht datenschutzkonform und deklarierte ihn für ungenügend. Was ist für Schweizer Unternehmen zu tun?
Gemäss dem Europäischen Gerichtshof (EuGH) sicherte der Privacy Shield die gemäss Datenschutz-Grundverordnung geforderten Rechte und Pflichten ungenügend ab – der Privacy Shield gilt ergo seit dem 16. Juli 2020 nicht mehr als genügende rechtliche Grundlage für den Austausch von Personendaten zwischen der EU und den USA. Der Eidgenössische Datenschutzbeauftragte (Edöb) hat in der Zwischenzeit nachgezogen und die Haltung des EuGHs gestützt und den Privacy Shield ebenfalls für datenschutzrechtlich ungenügend erklärt.
Das European Data Protection Board (EDPB) veröffentlichte am 11. November 2020 seine Empfehlungen zum internationalen Datentransfer, um die negativen Folgen des EuGH-Entscheids abzufedern: Die Empfehlung beinhaltet einen Sechs-Stufen-Plan zur Bewertung und zum Schutz des globalen Datenflusses gemäss DSGVO. Handlungsbedarf ist auch für Schweizer Firmen gegeben. Nachfolgend die wichtigsten Fakten und Empfehlungen.
Vorgeschichte
Am 16. Juli 2020 kippte der EuGH mit seinem Entscheid «Schrems II» (Urteil C-311/18 des EuGH vom 16. 7. 2020 i. S. Maximilian Schrems c. Facebook Ireland und Data Protection Commissionar of Ireland) den sogenannten EU-US-Privacy-Shield, indem er zum Schluss kam, dass die USA nicht über ein adäquates Datenschutzniveau verfügen.
Den US-Behörden stehe eine umfassende und anlasslose staatliche Massenüberwachung von US- wie auch EU-Bürgern zur Verfügung, lautet das Urteil. Gemäss EuGH ist zudem problematisch, dass eine gerichtliche Kontrolle dieser Überwachung und Datenverarbeitung insbesondere für Nicht-US-Bürger nicht beziehungsweise nur eingeschränkt möglich ist respektive fehlt, da der Privacy Shield keine entsprechenden Vorkehrungen vorsieht. Zufolge fehlender Unabhängigkeit abgelehnt und als ungenügend bezeichnet hat der EuGH die Stelle der Ombudsperson.
Am 8. September 2020 schloss sich der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) der Auffassung des EuGHs an und erklärte, dass der Privacy Shield CH-USA kein adäquates Datenschutzniveau garantiere. Die Rechtslage bei internationalen Datentransfers ist deshalb derzeit von grosser Unsicherheit geprägt.
EDSA gibt Tipps
Datentransfers in die USA sind zurzeit heikel und müssen verschiedenen Prüfungen unterzogen werden: Es müssen Voraussetzungen erfüllt sein, um den datenschutzrechtlichen Anforderungen im Sinne des EuGH Genüge zu tun. Die Weitergabe kann sich entweder auf Standardvertragsklauseln oder verbindliche Unternehmensregeln (Corporate Binding Rules, von den Datenschutzbehörden zu genehmigen) abstützen.
Der Europäische Datenschutzausschuss (EDSA) wendet sich mit einem Stufenplan direkt an die betroffenen Unternehmungen und zeigt die nötigen Vorkehrungen auf, die zu treffen sind, wenn personenbezogene Daten in Drittstaaten ausserhalb der EU oder des EWR übermittelt werden sollen. Es muss im Einzelfall geprüft werden, ob die getroffenen Massnahmen genügen, um den datenschutzrechtlichen Ansprüchen nachzukommen. Im Vordergrund steht das Wissen um die Transfers von personenbezogenen Daten von respektive in ein Unternehmen und die Implementierung konkreter Massnahmen zum Schutz der personenbezogenen Daten. Reine Vertragszusätze ohne weitere Massnahmen genügen meist nicht.
Die Erfahrung der letzten Monate hat gezeigt, dass diese Abwägungen schwierig zu machen und umzusetzen sind: Wann genau wurde rechtsgenüglich abgeklärt, dass ein ausreichendes Datenschutzniveau garantiert ist? Wie kann die datenschutzrechtliche Situation zwischen Parteien verbessert werden und was gilt gegenüber Behörden, da es sich bei allen Lösungsansätze in erster Linie um vertragliche Lösungen handelt?
In seinen Empfehlungen konkretisiert der EDSA einen Sechs-Stufen-Plan von zusätzlichen Schutzmassnahmen, um ein genügendes Datenschutzniveau zu gewährleisten.
Der Sechs-Stufen-Plan in der Übersicht
Schritt 1 – «Know your Transfers»
Als Grundregel gilt: Datenexporteure müssen über ihre Datentransfers Bescheid wissen und diese dokumentieren («know your transfers»), indem sie diese aufzeichnen und mitverfolgen. Damit ist der effektive Datentransfer zu prüfen, zu dokumentieren und zu managen, inklusive der Datenflüsse betreffend Kooperationen, Auftragsverarbeitungsverhältnissen oder eingeschalteten Subdienstleistern. Es genügt ergo nicht, die Verarbeitung von Personendaten ausserhalb der EU im Rahmen des Verfahrensverzeichnisses aufzulisten. Weitere Informationen müssen erfasst und gemanagt werden. Ohne detaillierte Beschreibungen der Datenbearbeitung – auch seitens der Subunternehmer – lassen sich die weiteren juristischen und risikobasierten Abklärungen jedoch nicht vornehmen.
Dies ist eine Herkulesaufgabe, sie lässt sich im jetzigen Umfeld jedoch nicht vermeiden. Wer Personendaten mit den USA oder anderen Drittländern ausserhalb des EU-Raums austauscht, muss diese Arbeiten angehen, dokumentieren und umsetzen. Stellt sich der Vertragspartner quer, müssen auch weitere Schritte in Betracht gezogen werden (Eingrenzung des Austauschs von Personendaten mit dem Lieferanten/Kunden, anderen Lieferanten etc.). Je kritischer die auszutauschenden Personendaten sind, desto umfassender muss die Lösung aussehen.
Schritt 2 – «Verify the Transfer Tool your Transfer relies on»
In einem zweiten Schritt müssen die geeigneten Garantien bestimmt und implementiert werden (vgl. Art. 44 ff. DSGVO) wie z. B. die Implementierung von aktualisierten Standardvertragsklauseln, verbindliche Unternehmensregeln (Corporate Binding Rules) und/oder eine Zustimmung des/der Betroffenen im Einzelfall. Die Vereinbarung von Standardvertragsklauseln ist in jedem Fall zu empfehlen bei Datentransfers in Drittländer, die nicht über ein adäquates Datenschutzniveau verfügen (vgl. dazu Liste des Edöb).
Schritt 3 – «Assess the law or practice of the third country»
In einem dritten Schritt ist zu klären, ob die ausländische Rechtsordnung und deren Praxis die Wirksamkeit der getroffenen Garantien, auf welche sich die Datenübermittlung stützt, gefährden könnte. Zu denken ist etwa an einen umfassenden und unverhältnismässigen Zugriff der Behörden des Drittstaates auf Personendaten. Diese Prüfung ist juristischer, aber auch operationeller Natur und umfasst nicht nur den Partner/Lieferanten/Kunden, sondern auch dessen Sublieferanten etc. Damit ist die Abklärung umfangreich und kann auch nicht ohne Weiteres generell, sondern muss abgestimmt auf die auszutauschenden Personendaten, den konkreten Vertragspartner etc. erfolgen.
Schritt 4 – «Identify and adopt supplemental Measures»
Der vierte Schritt stellt das Kernanliegen der EDSA dar und findet Anwendung, wenn die Beurteilung nach Schritt 3 ergibt, dass die Drittlandgesetzgebung und -praxis gewisse Gefahren eines möglichen umfassenden und unverhältnismässigen Eingriffs in die Personendaten der Betroffenen birgt. Danach müssen zusätzliche Massnahmen ermittelt und ergriffen werden, um das Schutzniveau der übermittelten Daten auf den EU-Standard zu bringen.
- Technische Massnahmen
Ein Mittel, um die Konformität mit den Vorgaben des Europäischen Datenschutzes (gemäss DSGVO) zu gewähren, ist die Implementierung von technischen Massnahmen. Die organisatorischen Massnahmen reichen laut EDSA jedoch nicht immer aus. Wenn Personendaten in einen Drittstaat ausserhalb der/des EU/EWR übermittelt werden, ist es erforderlich, die Daten vor der Übermittlung zu verschlüsseln. Der passende Schlüssel muss durch einen angemessenen Schutz verwaltet werden. Durch die End-to-End-Verschlüsselung der Daten können diese sicher durch ein Drittland durchgeleitet werden. Alternative wäre beispielsweise auch das Instrument der Pseudonymisierung. In den letzten Monaten sind von Lieferanten Bestrebungen erfolgt, um auch technische Lösungen zur Behebung der anstehenden Probleme bereitzustellen. Tatsache ist jedoch, dass mit dem Management der Infrastruktur (Keys, Zugang etc.) letztlich in vielen Fällen der Lieferant Zugriff auf Personendaten haben könnte, womit auch technische Ansätze, dem Kunden die Datenhoheit zu erteilen, scheitern. - Vertragliche & organisatorische Massnahmen
Durch vertragliche Massnahmen kann sichergestellt werden, dass die getroffenen Massnahmen und vereinbarten Garantien vom Anbieter oder Dienstleister eingehalten werden. Die organisatorischen Massnahmen können den Einsatz von Policies, Prozessen und Standards des Datenexporteurs beinhalten.
Allerdings können vertragliche und organisatorische Massnahmen allein den Zugang zu personenbezogenen Daten durch Behörden des Drittstaates nicht verhindern. Einzig die technischen Massnahmen verhindern den Zugang von Behörden zu personenbezogenen Daten in Drittstaaten, insbesondere zu Überwachungszwecken.
Schritt 5 – «Take any formal Procedure Steps»
Nach Schritt 5 müssen die zusätzlich getroffenen Massnahmen zum einen ggf. unter Mitwirkung des Datenimporteurs im Drittland und zum anderen unter Konsultation der zuständigen Aufsichtsbehörden umgesetzt werden.
Schritt 6 – «Reevaluate your Data Transfer at appropriate Intervals»
In einem letzten Schritt wird die regelmässige und fortlaufende Prüfung der getroffenen Massnahmen empfohlen. Auch für die rechtlichen und tatsächlichen Umstände im Drittstaat gilt diese Prüfpflicht. Dies umzusetzen, ist zeit- sowie ressourcenintensiv und entsprechend zu planen.
Was müssen heimische Unternehmen jetzt tun?
In einem ersten Schritt sollten die betroffenen Unternehmen abwägen, welche zusätzlichen Massnahmen erfolgsversprechend sind, um die bestehenden Risiken zu reduzieren. Im Fokus steht insbesondere die Verarbeitung von personenbezogenen Daten in den USA, was einen Grossteil der Datenverarbeitung von Unternehmen betrifft. Je nach Kategorie der betroffenen personenbezogenen Daten sind zusätzliche Abklärungen und Vorkehrungen unerlässlich wie beispielsweise bei der Verarbeitung von besonders schützenswerten Personendaten wie Gesundheitsdaten.
In jedem Fall sollten bei Transfers von Personendaten ausserhalb der EU die jeweils aktuellsten Standardvertragsklauseln vereinbart werden. Auch hier gilt, dass vieles im Wandel ist und die Standartvertragsklauseln zurzeit überarbeitet werden. Sobald aktualisiert, sollte die aktuellste Version implementiert und vereinbart werden. Zudem muss überprüft werden, ob das lokale Recht den geschilderten Anforderungen entspricht. Es ist sodann eine Risikoabwägung für die in Frage stehenden Länder vorzunehmen.
Fazit
Ohne eine umfassende Analyse der Unternehmenssituation kann ein Schweizer Unternehmen den neuen Anforderungen gemäss des Schrems II-Urteils nicht nachkommen. Es ist wichtig, eine Standortbestimmung zu machen, die sechs oben genannten Schritte umzusetzen und dies auch laufend zu überwachen und anzupassen. Untätig zu bleiben ist nicht empfehlenswert und erhöht das Risiko erheblich.
Zur Autorin
Carmen De la Cruz
ist Co-Leiterin der Rechtskommission von swissICT sowie Rechtsanwältin und Partnerin bei De la Cruz Beranek Rechtsanwälte. Die Mitglieder der swissICT-Rechtskommission berichten in der Computerworld regelmässig über aktuelle juristische Themen im digitalen Bereich.