VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Karriere
Kategorie: Data & Privacy
Am 7. Oktober 2022 unterzeichnete der US-Präsident eine Executive Order (EO), welche die aktuellen Probleme bei der Übermittlung personenbezogener Daten aus Europa in die USA lösen soll. Es ist bereits viel dazu publiziert worden, und es gibt bereits eine hitzige, manchmal sogar emotionale Debatte darüber, ob das neue "Data Privacy Framework" (DPF) einer Prüfung durch die europäischen Datenschutzbehörden und schliesslich durch den Europäischen Gerichtshof standhalten wird. Eine "Schrems III"-Entscheidung ist wahrscheinlich.
Aber was ist mit der Schweiz? Wird das DPF auch für Datenübermittlungen aus der Schweiz gelten? Wird es vom Bundesrat anerkannt werden müssen? Und wann wird dies geschehen? Hier sind Antworten.
Zunächst einmal erwähnt die EO weder die EU noch die Schweiz. Sie ist flexibler gestaltet:
Dies bedeutet, dass die Schweiz mit den USA verhandeln muss, um ein "qualifizierter Staat" zu werden, und dabei die USA davon überzeugen, dass die Übermittlung personenbezogener Daten in die USA nach Schweizer Datenschutzrecht zulässig ist. Die daraus resultierenden diplomatischen Verhandlungen werden auch die Benennung einer Behörde in der Schweiz (z.B. des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, EDÖB) beinhalten müssen, damit Beschwerden an den neuen Rechtsbehelfsmechanismus in den USA weitergeleitet werden können. Die Schweiz wird festlegen müssen, wer diesen Kanal nutzen kann.
Da die Schweiz höchstwahrscheinlich erst einmal abwarten und beobachten will, was die Europäische Kommission in Bezug auf das neue DPF tun wird (es wird erwartet, dass sie es unterstützt), und da solche Diskussionen einige Zeit in Anspruch nehmen, würde es uns (positiv) überraschen, wenn das neue DPF für Übermittlungen aus der Schweiz schon wesentlich vor dem Inkrafttreten des revidierten Datenschutzgesetzes am 1. September 2023 gelten würde. Mit dem neuen Gesetz hat die Schweiz zum ersten Mal überhaupt die Möglichkeit verbindlich zu entscheiden, dass Personendatenübermittlungen in die USA zulässig sind, was heute weder der EDÖB noch der Bundesrat tun können.
Es ist zu beachten, dass auch auf seitens der USA noch einiges zu tun ist. Die EO ist zwar unterzeichnet, die neuen Schutzbestimmungen müssen aber noch umgesetzt werden. Die US-Regierung hat nun ein Jahr Zeit, um sie durch den Erlass der entsprechenden Richtlinien umzusetzen. Somit besteht auch für den EDÖB keine Eile etwas zu unternehmen. Er kann vorderhand ebenfalls abwarten, was die Europäische Kommission und vor allem die EU-Datenschutzbehörden tun und wird sich deren Haltung wohl einfach mehr oder weniger anschliessen.
Es sei übrigens vermerkt, dass der neue "redress"-Mechanismus eine Eigenheit aufweist, die in ähnlicher Weise auch dem Schweizer Recht seit Jahren bekannt ist: Er bietet Nicht-US-Personen zwar die Möglichkeit, sich darüber zu beschweren, dass bestimmte ihrer Rechte nach US-Recht durch US-Nachrichtendienste verletzt worden sind, diese Personen werden aber nicht sofort erfahren, ob dies auch tatsächlich der Fall gewesen ist. Sie werden (zunächst) nur darüber informiert, dass ihr Fall geprüft und gegebenenfalls Abhilfemassnahmen definiert wurden, aber nicht darüber, ob sie überwacht worden sind oder ob ihre Rechte verletzt worden sind. Frühestens nach fünf Jahren kann der betroffenen Person Zugang zu den Akten gewährt werden. Ein ähnliches Konzept gilt auch im Rahmen des Nachrichtendienstgesetzes der Schweiz, für das der EDÖB als unabhängige Prüfstelle fungiert.
Werden alle Probleme im Zusammenhang mit der Datenübermittlung in die USA bald aus dem Weg geräumt sein? Nein.
Dies hängt damit zusammen, dass die EO schon vom Konzept her selbst nicht genügt, um den USA ein angemessenes Datenschutzniveau zu verschaffen. Es geht vielmehr darum, das mit der "Schrems II"-Entscheidung aufgeworfene Problem aus der Welt zu schaffen, dass das US-Nachrichtendienstrecht bestimmte behördliche Zugriffsbefugnisse vorsieht, die aus europäischer Sicht als problematisch gelten. Diese Befugnisse sind es, deren Anwendung bzw. Anwendbarkeit im konkreten Einzelfall wir im Rahmen der "Transfer Impact Assessments" (TIA) prüfen, wenn die Übermittlung von Personendaten im Rahmen der Standardvertragsklauseln der Europäischen Kommission (EU SCC) vorgesehen ist. Soll die USA insgesamt als Staat mit angemessenem Datenschutz gelten, müsste dort ein nationales Datenschutzgesetz erlassen werden, das den europäischen Anforderungen entspricht. Das ist bisher nicht geschehen und zeichnet sich auch nicht ab.
Die USA wird daher "nur" eine angepasste Neuauflage des einstigen "Privacy Shield Framework"-Programms einführen (es wird neu "EU U.S. Data Privacy Framework Principles" heissen) und die Europäische Kommission bitten, es – nun ergänzt mit dem zusätzlichen Schutz aus der neuen EO – als angemessenen Schutz gemäss Art. 45 GDPR anzuerkennen. Das wird dann wohl auch der Bundesrat tun, wenn die USA dies auch der Schweiz anbietet, wovon auszugehen ist. Zu beachten ist, dass die USA das Privacy Shield Programm in den letzten Jahren trotz allem weiterführte. Welche Änderungen an dem alten Programm vorgenommen werden und was das für die unter dem "Privacy Shield" bereits selbst-zertifizierten Unternehmen bedeutet, ist noch nicht klar. In der Praxis bedeutet dies, dass ein Exporteur in Europa, der einen Datentransfer in die USA vornehmen möchte, ohne die EU SCC zu nutzen, dies nur mit einem US-Unternehmen tun kann, das dann auch unter dem neuen Programm zertifiziert ist. Auch das wird Zeit brauchen.
Die meisten Übermittlungen werden weiterhin auf der Grundlage der EU SCC erfolgen. Hier wird künftig hoffentlich nur noch ein Pro-forma-TIA für US-Übermittlungen unter Verwendung der EU SCC erforderlich sein, falls die neue EO die Defizite des US-Rechts, die zur "Schrems II"-Entscheidung geführt haben, vollständig ausgleichen sollte.
Es wird interessant sein zu sehen, welchen Standpunkt hierzu der Europäische Datenschutzausschuss (EDSA) einnehmen wird, denn die von der Europäischen Kommission erwartete Angemessenheitsentscheidung wird aus den oben genannten Gründen wahrscheinlich formell nur das neue DPF-Programm für selbst-zertifizierte US-Unternehmen umfassen. Ein Exporteur, der die EU SCC benutzen will, wird entscheiden müssen, ob er zur Umsetzung von Art. 14 der EU SCC, d.h. bei der Durchführung eines TIA, dieselbe Argumentation anwenden und somit vertreten kann, dass die möglichen Behördenzugriffe durch die NSA aus Sicht des EU-Rechts nicht mehr problematisch sind. Aus diesem Grund wird die Haltung der europäischen Datenschutzbehörden und damit ihrem Gremium, dem EDSA, von Bedeutung sein, nicht nur jene der Europäischen Kommission.
Für uns stehen drei mögliche inhaltliche Reaktionen des EDSA im Vordergrund: Sie erachten die EO für wirksam in Bezug auf "Schrems II"-Problematik, in welchem Falle auch die Verwender der EU SCC bis zu einem gegenteiligen Entscheid des EuGH im Grossen und Ganzen aus dem Schneider sind – sie müssten das Risiko eines US-Behördenzugriffs jedenfalls bei normalen Datenübertragungen nicht mehr prüfen (lediglich im Bereich von Berufs- und Amtsgeheimnissen ändert sich natürlich nichts). Der EDSA könnte aber auch zum Schluss kommen, dass die neue EO zwar ein Schritt in die richtige Richtung sei, aber noch nicht genügt und der EDSA daher Exporteuren "empfiehlt", dass sie weiterhin gewisse Massnahmen treffen, wie die "in-transit"-Verschlüsselung, um der Kabelaufklärung der NSA auf den Internet-Backbones zu entgehen (manche davon werden allerdings unter dem Titel einer angemessenen Datensicherheit so oder so nötig sein). In diesem Falle wäre ein reduziertes TIA noch nötig. Diese Möglichkeit erachten wir deutlich weniger wahrscheinlich.
Kommen die EU-Datenschützer zum Schluss, die EO sei unwirksam, wird aus ihrer Sicht ungeachtet eines Angemessenheitsbeschlusses (der ja nur Transfers nach den "EU U.S. Data Privacy Framework Principles" betrifft) ein TIA weiterhin wie bisher nötig sein. Denn vom Angemessenheitsbeschluss wären formal höchstwahrscheinlich nur jene Transfers abgedeckt, die im Rahmen des neuen DPF-Programms erfolgen, der aber vom Empfänger in den USA eine Zertifizierung voraussetzt. Eine solche wird für viele Unternehmen zu viel Aufwand darstellen, so insbesondere Unternehmen, die schon heute keine Provider und daher nicht im Fokus der NSA sind. In diesem unwahrscheinlichen Szenario würden also vor allem US-basierte Provider, die sich wohl alle zertifizieren lassen werden, von der neuen EO profitieren. In allen anderen Fällen würden die Exporteure abermals zwischen die Fronten geraten. Der Angemessenheitsbeschluss wäre zwar ein gutes Argument dafür, dass der EO wirksam ist, aber eben ausserhalb seines Anwendungsbereichs nicht verbindlich. Es ist sehr zu hoffen, dass die Datenschutzbehörden sich nicht für diesen Weg der Konfrontation entscheiden.
Freilich, falls und wenn der EuGH in einigen Jahren erneut über die Sache in einem möglichen "Schrems III"-Fall entscheidet, sind wir möglicherweise trotzdem wieder auf Feld 1 zurück.
In diesem Sinne erwarten wir, dass sich der EDSA unter einem gewissen Druck sehen wird, die neue EO als wirksam zu akzeptieren, bietet sie den EWR-Datenschutzbehörden doch eine Gelegenheit, sich ohne Gesichtsverlust aus der "Schrems II"-Sackgasse herauszuführen, in welche sie sich selbst und die europäische Wirtschaft durch ihren heutigen Null-Risiko-Ansatz hineinmanövriert haben. Handelt der EDSA taktisch, wird er entweder keine klare Stellung beziehen oder zum Schluss kommen, dass es vorteilhafter ist, die neue EO anzunehmen, auch wenn bestimmte Aspekte diesbezüglich nicht ganz zufriedenstellend oder unklar sind. Die "heisse Kartoffel" würde dann beim EuGH liegen.
Der EuGH könnte sich in der selben Situation wiederfinden, sollte NOYB von Max Schrems beschliessen, eine Datenübermittlung basierend auf dem neuen DPF-Programm anzufechten (wie bei Schrems II), was wahrscheinlich einfacher ist, als eine Übermittlung von Daten unter den EU SCC anzugreifen. Ohnehin ist die Sache vor allem eine politische Angelegenheit und viele werden nicht richtig nachvollziehen können, welchen konkreten und spürbaren Nutzen all diese Aktivitäten für einzelne betroffene Personen haben sollen. Diejenigen, welche die EO kritisieren, haben natürlich auch Recht, wenn sie darauf hinweisen, dass viele Schutzmechanismen auch unter der neuen EO unklar bleiben. Einige davon wurden bereits angesprochen, andere könnten sich in Zukunft noch deutlicher herauskristallisieren, wie z. B. der Anwendungsbereich der EO, der sich auf "signals intelligence" beschränkt, ohne dass dieser Begriff definiert wird – deckt er wirklich alle Datensammlungen gemäss Section 702 FISA ab?
Unser Rat für die Praxis ist daher, vorerst wie gewohnt weiterzumachen, einschliesslich der Durchführung von TIAs. Selbst wenn der EDSA die EO als wirksam bezüglich der "Schrems II"-Thematik erachtet, werden sich Exporteure wohl erst in sechs bis zwölf Monaten darauf abstützen können, da die EO zuerst in den USA umgesetzt werden muss und sie auch in der Sache nur und erst gilt, wenn die USA die EU bzw. die Schweiz als "qualifying state" anerkannt hat. Die EO bietet derzeit rechtlich keine Grundlage, auf TIAs zu verzichten, sie zu ändern oder anders abzufassen.
Wir gehen nicht davon aus, dass die europäischen Datenschutzbehörden in nennenswertem Umfang gegen Datenübermittlungen in die USA vorgehen werden, es sei denn, es geht um sichtbare Anwendungen einzelner grosser Technologieunternehmen wie Google, Meta, Microsoft oder AWS (aber offenbar nicht gegen andere wie Apple oder Oracle, die sich bisher erfolgreich unter dem Radar bewegt haben) oder in Fällen, in denen sie mehr oder weniger dazu "gezwungen" werden. Der grösste Teil unserer eigenen derzeitigen Arbeit im Zusammenhang mit TIAs unserer Klienten fokussiert sich sowieso nicht auf Datenübertragungen in die USA, sondern in andere Länder der Welt, von denen es viele gibt, deren Regelung über Behördenzugriffe wesentlich problematischer sind als diejenigen der USA.
Team Head
In vielen Banken, Versicherungen und anderen Schweizer Finanzinstituten laufen derzeit Projekte zum...
Schweiz zieht mit einem Jahr Verzögerung nach der EU nach Berufs- und Amtsgeheimnis nicht...
Wer verpflichtet ist, das Berufs- oder Amtsgeheimnis zu wahren, muss bei der Beauftragung eines...