Close
Wonach suchen Sie?

17. Oktober 2022

EU-U.S. Data Privacy Framework: Wann und wie es für die Schweiz gelten wird

Am 7. Oktober 2022 unterzeichnete der US-Präsident eine Executive Order (EO), welche die aktuellen Probleme bei der Übermittlung personenbezogener Daten aus Europa in die USA lösen soll. Es ist bereits viel dazu publiziert worden, und es gibt bereits eine hitzige, manchmal sogar emotionale Debatte darüber, ob das neue "Data Privacy Framework" (DPF) einer Prüfung durch die europäischen Datenschutzbehörden und schliesslich durch den Europäischen Gerichtshof standhalten wird. Eine "Schrems III"-Entscheidung ist wahrscheinlich.

Aber was ist mit der Schweiz? Wird das DPF auch für Datenübermittlungen aus der Schweiz gelten? Wird es vom Bundesrat anerkannt werden müssen? Und wann wird dies geschehen? Hier sind Antworten.

Ein "qualifizierter Staat" werden

Zunächst einmal erwähnt die EO weder die EU noch die Schweiz. Sie ist flexibler gestaltet:

  • Die US-Regierung verspricht zunächst, dass einige der Schutzmassnahmen für alle Datenübermittlungen in die USA gelten, unabhängig von ihrem Ursprung (wir werden ein wenig weiter unten auf den Anwendungsbereich eingehen). Es ist hier anzumerken, dass manche von diesen Massnahmen und Einschränkungen nicht neu sind. Sie finden sich in den Dekreten des Präsidenten und den Richtlinien der US-Nachrichtendienste, die bereits vor der EO bestanden (PPD-28, EO 12333). Es sei auch darauf hingewiesen, dass die EO vom US-Präsidenten jederzeit geändert werden kann.
  • Der viel zitierte Rechtsbehelf ("redress"), d.h. die Möglichkeit einer Nicht-US-Person, eine Beschwerde bei einer unparteiischen und unabhängigen Stelle einzureichen (nach europäischem Recht muss es sich dabei nicht um ein Gericht handeln), steht nur Personen in "qualifizierten Staaten" ("qualifying states") offen, oder – genauer gesagt – Personen, die eine solche Beschwerde über einen qualifizierten Staat einreichen dürfen. Es ist der US-Justizminister, der letztendlich ein Land (oder eine Gruppe von Ländern, wie die EU) als qualifizierten Staat bezeichnet. Gemäss EO kann er dies nur unter bestimmten Bedingungen tun, insbesondere (i) das Bestehen eines gegenseitigen Schutzes für US-Personen in Bezug auf Kabel- und Funkaufklärung (genauer: "signals intelligence") im qualifizierten Staat und (ii) wenn der qualifizierte Staat die kommerzielle Übermittlung personenbezogener Daten an die USA erlaubt oder voraussichtlich erlauben wird. Die erste Bedingung wird jedenfalls in Bezug auf die Schweiz wahrscheinlich kein Problem darstellen, die zweite Bedingung ist die Interessantere. Sie sorgt für einen gewissen Druck auf die Datenschutzbehörden. Darüber hinaus funktioniert der "redress"-Mechanismus nur für Beschwerden, die über eine Behörde des qualifizierten Staates eingereicht werden, d.h. Einzelpersonen können nicht direkt Beschwerden einreichen.

Dies bedeutet, dass die Schweiz mit den USA verhandeln muss, um ein "qualifizierter Staat" zu werden, und dabei die USA davon überzeugen, dass die Übermittlung personenbezogener Daten in die USA nach Schweizer Datenschutzrecht zulässig ist. Die daraus resultierenden diplomatischen Verhandlungen werden auch die Benennung einer Behörde in der Schweiz (z.B. des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, EDÖB) beinhalten müssen, damit Beschwerden an den neuen Rechtsbehelfsmechanismus in den USA weitergeleitet werden können. Die Schweiz wird festlegen müssen, wer diesen Kanal nutzen kann.

EDÖB kann abwarten

Da die Schweiz höchstwahrscheinlich erst einmal abwarten und beobachten will, was die Europäische Kommission in Bezug auf das neue DPF tun wird (es wird erwartet, dass sie es unterstützt), und da solche Diskussionen einige Zeit in Anspruch nehmen, würde es uns (positiv) überraschen, wenn das neue DPF für Übermittlungen aus der Schweiz schon wesentlich vor dem Inkrafttreten des revidierten Datenschutzgesetzes am 1. September 2023 gelten würde. Mit dem neuen Gesetz hat die Schweiz zum ersten Mal überhaupt die Möglichkeit verbindlich zu entscheiden, dass Personendatenübermittlungen in die USA zulässig sind, was heute weder der EDÖB noch der Bundesrat tun können.

Es ist zu beachten, dass auch auf seitens der USA noch einiges zu tun ist. Die EO ist zwar unterzeichnet, die neuen Schutzbestimmungen müssen aber noch umgesetzt werden. Die US-Regierung hat nun ein Jahr Zeit, um sie durch den Erlass der entsprechenden Richtlinien umzusetzen. Somit besteht auch für den EDÖB keine Eile etwas zu unternehmen. Er kann vorderhand ebenfalls abwarten, was die Europäische Kommission und vor allem die EU-Datenschutzbehörden tun und wird sich deren Haltung wohl einfach mehr oder weniger anschliessen.

Es sei übrigens vermerkt, dass der neue "redress"-Mechanismus eine Eigenheit aufweist, die in ähnlicher Weise auch dem Schweizer Recht seit Jahren bekannt ist: Er bietet Nicht-US-Personen zwar die Möglichkeit, sich darüber zu beschweren, dass bestimmte ihrer Rechte nach US-Recht durch US-Nachrichtendienste verletzt worden sind, diese Personen werden aber nicht sofort erfahren, ob dies auch tatsächlich der Fall gewesen ist. Sie werden (zunächst) nur darüber informiert, dass ihr Fall geprüft und gegebenenfalls Abhilfemassnahmen definiert wurden, aber nicht darüber, ob sie überwacht worden sind oder ob ihre Rechte verletzt worden sind. Frühestens nach fünf Jahren kann der betroffenen Person Zugang zu den Akten gewährt werden. Ein ähnliches Konzept gilt auch im Rahmen des Nachrichtendienstgesetzes der Schweiz, für das der EDÖB als unabhängige Prüfstelle fungiert.

Die EO sieht keine Angemessenheit vor

Werden alle Probleme im Zusammenhang mit der Datenübermittlung in die USA bald aus dem Weg geräumt sein? Nein.

Dies hängt damit zusammen, dass die EO schon vom Konzept her selbst nicht genügt, um den USA ein angemessenes Datenschutzniveau zu verschaffen. Es geht vielmehr darum, das mit der "Schrems II"-Entscheidung aufgeworfene Problem aus der Welt zu schaffen, dass das US-Nachrichtendienstrecht bestimmte behördliche Zugriffsbefugnisse vorsieht, die aus europäischer Sicht als problematisch gelten. Diese Befugnisse sind es, deren Anwendung bzw. Anwendbarkeit im konkreten Einzelfall wir im Rahmen der "Transfer Impact Assessments" (TIA) prüfen, wenn die Übermittlung von Personendaten im Rahmen der Standardvertragsklauseln der Europäischen Kommission (EU SCC) vorgesehen ist. Soll die USA insgesamt als Staat mit angemessenem Datenschutz gelten, müsste dort ein nationales Datenschutzgesetz erlassen werden, das den europäischen Anforderungen entspricht. Das ist bisher nicht geschehen und zeichnet sich auch nicht ab.

Die USA wird daher "nur" eine angepasste Neuauflage des einstigen "Privacy Shield Framework"-Programms einführen (es wird neu "EU U.S. Data Privacy Framework Principles" heissen) und die Europäische Kommission bitten, es – nun ergänzt mit dem zusätzlichen Schutz aus der neuen EO – als angemessenen Schutz gemäss Art. 45 GDPR anzuerkennen. Das wird dann wohl auch der Bundesrat tun, wenn die USA dies auch der Schweiz anbietet, wovon auszugehen ist. Zu beachten ist, dass die USA das Privacy Shield Programm in den letzten Jahren trotz allem weiterführte. Welche Änderungen an dem alten Programm vorgenommen werden und was das für die unter dem "Privacy Shield" bereits selbst-zertifizierten Unternehmen bedeutet, ist noch nicht klar. In der Praxis bedeutet dies, dass ein Exporteur in Europa, der einen Datentransfer in die USA vornehmen möchte, ohne die EU SCC zu nutzen, dies nur mit einem US-Unternehmen tun kann, das dann auch unter dem neuen Programm zertifiziert ist. Auch das wird Zeit brauchen.

Die meisten Übermittlungen werden weiterhin auf der Grundlage der EU SCC erfolgen. Hier wird künftig hoffentlich nur noch ein Pro-forma-TIA für US-Übermittlungen unter Verwendung der EU SCC erforderlich sein, falls die neue EO die Defizite des US-Rechts, die zur "Schrems II"-Entscheidung geführt haben, vollständig ausgleichen sollte.

Es wird interessant sein zu sehen, welchen Standpunkt hierzu der Europäische Datenschutzausschuss (EDSA) einnehmen wird, denn die von der Europäischen Kommission erwartete Angemessenheitsentscheidung wird aus den oben genannten Gründen wahrscheinlich formell nur das neue DPF-Programm für selbst-zertifizierte US-Unternehmen umfassen. Ein Exporteur, der die EU SCC benutzen will, wird entscheiden müssen, ob er zur Umsetzung von Art. 14 der EU SCC, d.h. bei der Durchführung eines TIA, dieselbe Argumentation anwenden und somit vertreten kann, dass die möglichen Behördenzugriffe durch die NSA aus Sicht des EU-Rechts nicht mehr problematisch sind. Aus diesem Grund wird die Haltung der europäischen Datenschutzbehörden und damit ihrem Gremium, dem EDSA, von Bedeutung sein, nicht nur jene der Europäischen Kommission.

Für uns stehen drei mögliche inhaltliche Reaktionen des EDSA im Vordergrund: Sie erachten die EO für wirksam in Bezug auf "Schrems II"-Problematik, in welchem Falle auch die Verwender der EU SCC bis zu einem gegenteiligen Entscheid des EuGH im Grossen und Ganzen aus dem Schneider sind – sie müssten das Risiko eines US-Behördenzugriffs jedenfalls bei normalen Datenübertragungen nicht mehr prüfen (lediglich im Bereich von Berufs- und Amtsgeheimnissen ändert sich natürlich nichts). Der EDSA könnte aber auch zum Schluss kommen, dass die neue EO zwar ein Schritt in die richtige Richtung sei, aber noch nicht genügt und der EDSA daher Exporteuren "empfiehlt", dass sie weiterhin gewisse Massnahmen treffen, wie die "in-transit"-Verschlüsselung, um der Kabelaufklärung der NSA auf den Internet-Backbones zu entgehen (manche davon werden allerdings unter dem Titel einer angemessenen Datensicherheit so oder so nötig sein). In diesem Falle wäre ein reduziertes TIA noch nötig. Diese Möglichkeit erachten wir deutlich weniger wahrscheinlich.

Kommen die EU-Datenschützer zum Schluss, die EO sei unwirksam, wird aus ihrer Sicht ungeachtet eines Angemessenheitsbeschlusses (der ja nur Transfers nach den "EU U.S. Data Privacy Framework Principles" betrifft) ein TIA weiterhin wie bisher nötig sein. Denn vom Angemessenheitsbeschluss wären formal höchstwahrscheinlich nur jene Transfers abgedeckt, die im Rahmen des neuen DPF-Programms erfolgen, der aber vom Empfänger in den USA eine Zertifizierung voraussetzt. Eine solche wird für viele Unternehmen zu viel Aufwand darstellen, so insbesondere Unternehmen, die schon heute keine Provider und daher nicht im Fokus der NSA sind. In diesem unwahrscheinlichen Szenario würden also vor allem US-basierte Provider, die sich wohl alle zertifizieren lassen werden, von der neuen EO profitieren. In allen anderen Fällen würden die Exporteure abermals zwischen die Fronten geraten. Der Angemessenheitsbeschluss wäre zwar ein gutes Argument dafür, dass der EO wirksam ist, aber eben ausserhalb seines Anwendungsbereichs nicht verbindlich. Es ist sehr zu hoffen, dass die Datenschutzbehörden sich nicht für diesen Weg der Konfrontation entscheiden.

Freilich, falls und wenn der EuGH in einigen Jahren erneut über die Sache in einem möglichen "Schrems III"-Fall entscheidet, sind wir möglicherweise trotzdem wieder auf Feld 1 zurück.

Kategorie: Data & Privacy

Autor