Das Swiss-U.S. Data Privacy Framework

Warum braucht es ein neues Datenschutzabkommen mit den USA?

Für grenzüberschreitende Bekanntgaben von Personendaten greifen besondere Vorschriften des Bundesgesetzes für den Datenschutz (DSG), die sowohl von Verantwortlichen als auch von Auftragsbearbeitern eingehalten werden müssen. Personendaten dürfen nur dann ins Ausland bekannt gegeben werden, wenn das Empfängerland einen angemessenen Schutz gewährleistet oder durch zusätzliche Massnahmen ein gemäss den eidgenössischen datenschutzrechtlichen Bestimmungen angemessener Schutz gewährleistet wird.

Bis zum Scheitern des Swiss-U.S. Privacy Shield konnten Personendaten an US-Unternehmen bekanntgegeben werden, wenn diese unter eben diesem Datenschutzabkommen zertifiziert waren. Das Swiss-U.S. Privacy Shield entsprach inhaltlich dem Abkommen EU-U.S. Privacy Shield zwischen der Europäischen Union (EU) und den USA. Beide Abkommen sahen ein in Zusammenarbeit mit US-Behörden administriertes Zertifizierungsverfahren vor, bei dem Unternehmen in den USA sich verpflichteten, Datenschutzgrundsätze einzuhalten. Zudem sollten die Vereinigten Staaten garantieren, dass sie eine indirekte Kontrolle von Zugriffen ihrer Behörden auf Schweizer Daten über einen Ombudsperson-Mechanismus ermöglichten.

Aufgrund des sogenannten Schrems-II-Urteils des Europäischen Gerichtshofs (EuGH) im Sommer 2020, in dem die Richter das EU-U.S. Privacy Shield kassierten, kam auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zu der Auffassung, dass das Swiss-U.S. Privacy Shield kein adäquates Datenschutzniveau bietet. Als Hauptargument für das als ungenügend erklärte Privacy Shield führte der EDÖB unzureichende Rechtsschutzmöglichkeiten für Schweizer Betroffene an. Als Konsequenz strich der EDÖB die USA von der Staatenliste mit „angemessene[m] Datenschutz unter bestimmten Bedingungen“.

Da die Gesetzgebung der USA grundsätzlich keinen angemessenen Schutz gewährleistet, konnten nach dem Ende des Privacy Shields Personendaten in die USA nur unter den Voraussetzungen nach Art. 16 Abs. 2 DSG bekannt gegeben werden. Vorrangig schliessen Schweizer Unternehmen sogenannte Standardvertragsklauseln (SCC) mit ausländischen Datenimporteuren ab. Allerdings stellt der EDÖB erhöhte Anforderungen an auf SCC gestützte Datentransfers und verlangt von Unternehmen hierbei eine einzelfallabhängige Risikoabschätzung.

Das neue Swiss-U.S. Datenschutzabkommen gibt Schweizer Unternehmen nun grundsätzlich wieder mehr Rechtssicherheit für die Bekanntgabe von Personendaten in die USA.

Das Swiss-U.S. Data Privacy Framework

Die Schweiz stand lange in Gesprächen mit den USA bzgl. eines entsprechenden Rahmenwerks (Swiss-U.S. Data Privacy Framework). Mit Einführung des neuen Schweizer Datenschutzgesetzes ist es seit 1. September 2023 Aufgabe des Bundesrates, über die Angemessenheit eines Staates gemäss des DSG zu entscheiden (Art. 16 Abs. 1 DSG).

Für Schweizer Unternehmen hatte es somit nicht ausgereicht, dass die Europäische Union das EU-U.S. Data Privacy Framework mit den USA bereits im Juli 2023 vereinbarte. Am 14. August 2024 beschloss nun der Bundesrat ebenfalls ein entsprechendes Rahmenwerk zwischen der Schweiz und den USA.

Das neue Swiss-U.S. Data Privacy Frameworks bestätigt zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Schweizer Unternehmen können somit Personendaten an zertifizierte US-Unternehmen bekannt geben, ohne zusätzliche Garantien (wie etwa Standardvertragsklauseln) abzuschließen.

Inhalt des Swiss-U.S. Data Privacy Frameworks

US-Unternehmen können sich dem Swiss-U.S. Data Privacy Framework anschliessen, indem sie sich (wie auch zuvor beim Swiss-U.S. Privacy Shield) zur Einhaltung detaillierter Datenschutzpflichten verpflichten. Hierunter fallen beispielsweise die Pflichten personenbezogene Daten zu löschen, wenn der Zweck, für den sie erhoben worden sind, erreicht ist, oder den Fortbestand des Schutzes zu gewährleisten, wenn personenbezogene Daten an Dienstleister oder Dritte weitergegeben werden.

Auf amerikanischer Seite kümmert sich das U.S. Department of Commerce um die Anträge auf Zertifizierung und die Überwachung der Einhaltung.

Im Vergleich zu dem Vorgängerabkommen bringt das neue Swiss-U.S. Data Privacy Framework – zumindest auf dem Papier – einige Verbesserungen mit sich. Es werden neue verbindliche Garantien eingeführt, um insbesondere den vom EuGH und EDÖB geäusserten Bedenken Rechnung zu tragen. So ist vorgesehen, dass der Zugang von amerikanischen Nachrichtendiensten zu Schweizer Personendaten auf ein notwendiges und verhältnismässiges Mass beschränkt wird. Ausserdem wird ein Gericht zu Datenschutzüberprüfungen, das sogenannte Data Protection Review Court (DPRC), eingeführt, zu dem Betroffene aus der Schweiz Zugang haben.

Weitere Informationen zum Swiss-U.S. Data Privacy Framework sind unter diesem Link auf Englisch verfügbar.

Fazit: ein Datenschutzabkommen mit wahrscheinlich kurzer Halbwertszeit

Ende 2020 hatte der EDÖB die USA von der Staatenliste gestrichen, womit das Swiss-U.S. Privacy Shield schlagartig an Bedeutung verlor. Mit dem Inkrafttreten des Angemessenheitsbeschluss zum Swiss-U.S. Data Privacy Framework wird nun auch Schweizer Unternehmen der Datenexport in die USA erleichtert.

Allerdings ist auch dieses neue Abkommen mit Vorsicht zu geniessen. Denn es steht ausser Frage, dass das EU-Pendant – das EU-U.S. Data Privacy Framework – dem EuGH zur Überprüfung vorgelegt wird. Dieses Abkommen ist weitgehend eine Kopie alter Prinzipien. US-Nachrichtendienste haben nach wie vor Zugriff auf die Personendaten von Ausländern und auch das Rechtsbehelfsverfahren entspricht nicht europäischen Grundsätzen. Sollte der EuGH das neue EU-U.S. Abkommen für ungültig erklären, werden sicher auch der EDÖB und der Bundesrat diesem Urteil wieder folgen.

Somit empfehlen wir weiterhin nur Dienstleister einzusetzen, die in der Schweiz oder EU ansässig sind.