
Wird der Entscheid wirklich viel ändern?
Der am 16. Juli 2020 veröffentlichte und als «Schrems II» bekannte Entscheid C-311/18 des Europäischen Gerichtshof (EuGH) zu internationalen Transfers von Personendaten aus dem EWR wirft in Datenschutzkreisen hohe Wellen. Was er in der Praxis bedeutet, wird sich noch zeigen müssen, aber dass der Datentransfer in bestimmte Länder komplizierter wird, ist klar. Doch wird er für die meisten Unternehmen in der Schweiz wirklich viel ändern?
Aufhebung von des EU-US Privacy Shield
In seinem Entscheid hebt der EuGH zum einen den Entscheid der Europäischen Kommission betreffend den «EU-US Privacy Shield» auf. Der «Privacy Shield» ist ein US-Selbstzertifizierungs-Programm, bei welchem US-Unternehmen öffentlich und verbindlich versprechen, sich an den Datenschutz nach europäischem Verständnis zu halten. Auf dieser Grundlage durfte solchen Unternehmen in den USA auch unter der DSGVO Personendaten übermittelt werden, obwohl die USA kein aus europäischer Sicht angemessenes Datenschutzrecht haben.
Der «Privacy Shield» war vor allem für US-Unternehmen wichtig, die datenbasierte Dienstleistungen Konsumenten anbieten, d.h. Personen, mit denen sie keine separaten Datenschutzverträge abschliessen wollten oder konnten, bevor ihnen diese aus Europa Personendaten anderer übermitteln. Solche Datenschutzverträge sind Alternativen zum Privacy Shield, welche die Mehrheit der Wirtschaft heute nutzt. Sie basieren auf Standardverträgen, die ebenfalls von der Europäischen Kommission stammen und normalerweise unverändert mit allen Unternehmen in unsicheren Drittstaaten abgeschlossen werden, denen Personendaten aus dem EWR zugänglich gemacht werden sollen. Auf diese Weise wird der Datenschutz auch in jenen datenschutzrechtlich "unsicheren" Ländern mindestens vertraglich sichergestellt. Diese Standardklauseln gibt es bereits viele Jahre und sind fest etabliert; die DSGVO sieht sie ausdrücklich vor. Als dritte Möglichkeit gibt es noch «Binding Corporate Rules». Das ist die aufwändigere, dafür aber massgeschneiderte Variante eines vertraglichen Datenschutzes im Ausland. Sie kommt in der Schweiz eher selten zum Einsatz.
Auch die Schweiz hat den Privacy Shield
Was für den EWR gilt, gilt ähnlich auch für die Schweiz, auch wenn es in der Schweiz bisher formell weder für Privacy Shield noch für den Einsatz von Datenschutzverträgen die Zustimmung der Schweizer Behörden brauchte. Immerhin hat der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner «Länderliste» festgehalten, dass er den Privacy Shield, in der nach dem EU-Vorbild mit den USA ausgehandelten Schweizer Variante, als hinreichende Schutzmassnahme für Exporte von Personendaten in die USA hält. Auch die Standardvertragsklauseln der Europäischen Kommission hielt er bisher für hinreichend.
Der EuGH hat 2015 in seinem Entscheid «Schrems I» schon das Vorgängersystem «Safe Harbor» aus den gleichen Gründen aufgehoben: Nach Meinung des EuGH schützen beide Programme in die USA übermittelte Daten nicht ausreichend vor Zugriffen durch US-Behörden, weil die USA sich nicht verpflichten wollten, sich bei solchen Zugriffen auf das zwingend Erforderliche zu beschränken und betroffenen Personen aus Europa einen akzeptablen Rechtsschutz zu gewähren. Weil dies das Verfassungsrecht der EU verletzt, hätte die Europäische Kommission «Privacy Shield» nicht genehmigen dürfen. Ihr Entscheid wurde daher per sofort aufgehoben. Im EuGH-Entscheid ging es vor allem um die Möglichkeiten der US-Behörden zur Auslandskabelaufklärung (Abhören von Datenübermittlungen im Ausland) betreffend Nicht-US-Personen.
Standardvertragsklauseln genügen nicht unbedingt
Der EuGH befasste sich auch mit den Standardvertragsklauseln. Diese hob er jedoch nicht auf, wie einige dies im Vorfeld befürchteten, machte aber klar, dass es nicht genügt, diese zu übernehmen und es damit auf sich bewenden zu lassen. Der Verantwortliche muss die Umstände des konkreten Datentransfers würdigen und sich fragen, wie weit die Standardvertragsklauseln die übermittelten Daten tatsächlich angemessen schützen. Je nach Art und Land des Empfängers wird er zusätzliche Schutzmassnahmen ergreifen oder aber auf den Datenexport in das betreffende Land bzw. an den betreffen Empfänger verzichten müssen, wenn der Schutz trotz Vertrag nicht gewährleistet ist.
Es geht hier letztlich um dasselbe Grundproblem wie bei Privacy Shield: Beide Instrumente schützen nicht unbedingt hinreichend vor einem Zugriff durch die Behörden des fremden Staats, also ist zu klären, ob diese Zugriffsrechte aus europäischer Sicht hinnehmbar sind oder nicht. Was das für die Praxis konkret bedeutet, sagt der EuGH allerdings nicht. Dies werden letztlich die Datenschutzbehörden beurteilen müssen; das Recht dazu, gegen einzelne Datenexporte vorzugehen, haben sie ungeachtet der Verwendung der Standardvertragsklauseln, wie der EuGH betonte.
Folgen unter dem Schweizer Recht
Unter dem Schweizer Datenschutzgesetz (DSG) ändert sich zunächst gar nichts. Der EuGH entscheidet nicht für das DSG, und die Rechtsgrundlagen sind in der Schweiz leicht andere. Wie schon damals beim Entscheid betreffend Safe Harbor können Unternehmen in der Schweiz weiterhin auf die Schweizer Variante des «Privacy Shield» abstellen, solange es angeboten wird. Daran ändert sich rechtlich auch nichts, wenn der EDÖB Privacy Shield als anerkannte Schutzvorkehrung von seiner Länderliste streichen würde. Bis das revidierte DSG in Kraft tritt, muss jeder Datenexporteur selbst entscheiden, ob Privacy Shield einen angemessenen Schutz bietet. Dies lässt sich weiterhin mit guten Gründen vertreten, denn die Tatsachen, die jetzt zur Aufhebung des Privacy Shield durch den EuGH führten, waren von Anfang bekannt. Trotzdem wurde es verhandelt, abgeschlossen und vom EDÖB als hinreichend bewertet.
Streicht der EDÖB Privacy Shield jetzt von seiner Liste, dann wohl primär, um die EU wegen der für die Schweiz anstehenden Erneuerung ihres Angemessenheitsbeschlusses freundlich zu stimmen. Darum ist damit sogar zu rechnen. Freilich steht es auch den Schweizer Gerichten frei, Privacy Shield in einem konkreten Fall für unzureichend zu erklären, aber bisher gab es keine solchen Fälle. Es ist zudem denkbar, dass die USA Privacy Shield nun kippt und es damit hinfällig wird. Beides aber droht nicht unmittelbar. Darum stehen Unternehmen, die sich nur an das DSG halten müssen, nicht unter einem unmittelbaren Zwang, eine Alternative für Datenexporte aus der Schweiz in die USA zu finden.
Privacy Shield ist nicht das Hauptproblem
So oder so ist aufgrund der faktischen Wirkung des EuGH-Entscheids aber damit zu rechnen, dass auch in der Schweiz in Zukunft nicht mehr auf Privacy Shield abgestellt wird. Es macht in der Praxis meist keinen Sinn, für Exporte von Personendaten unter dem DSG eine andere Lösung als jene einzusetzen, die auch unter der DSGVO genügt. Auch Anbieter in den USA werden eine Lösung für ganz Europa haben wollen. Sie werden als erste Sofortmassnahme ihre Verträge so anpassen, dass sie neu auf die Standardvertragsklauseln der Europäischen Kommission verweisen, soweit sie dies nicht schon tun. Nach dem EuGH-Entscheid im Jahre 2015 zu Safe Harbor haben die meisten Unternehmen ihre Vertragswerke bereits umgestellt; darum wird dieser Teil des EuGH-Entscheids viele Unternehmen nicht mehr wirklich treffen.
Kritischer sind die Fragezeichen, die der EuGH mit Bezug auf die Standardvertragsklauseln in die Welt gesetzt hat, denn diese sind für den weltweiten Datenaustausch essenziell. Der EuGH erklärt sie bzw. den sie genehmigenden Beschluss der Europäischen Kommission zwar nicht für ungültig, aber er stellt klar, dass sie nicht unbedingt genügen, um einen Datentransfer in ein Land ohne angemessenen gesetzlichen Datenschutz zu rechtfertigen, weil hier im Grunde dasselbe Problem wie bei Privacy Shield besteht. Das ist richtig, denn die vertragliche Verpflichtung eines Datenempfängers in den USA oder einem anderen Land wird nicht davor schützen, dass die dortigen Behörden auf seine Daten bei Bedarf nach ihrem eigenen Recht Zugriff nehmen.
Wann sind Standardvertragsklauseln noch genügend?
Während bisher die herrschende Ansicht war, dass das Risiko eines solchen «Lawful Access» durch die Standardvertragsklauseln normalerweise hinreichend abgedeckt ist, ist diese Schlussfolgerung für die DSGVO nun nicht mehr pauschal möglich. Was dies genau bedeutet, ist noch nicht klar und wird de facto davon abhängen, was die einzelnen Datenschutzbehörden im EWR und der Europäische Datenschutzschutz-Ausschuss (EDSA) verlangen werden. Sie könnten verlangen, dass ein Export an Unternehmen mit besonders hohem Risiko von aus der Sicht der EU unzulässigen Behördenzugriffe nicht mehr erlaubt ist, was umgekehrt bedeutet, dass das Unternehmen jeweils eine Risikobeurteilung bezüglich solcher Zugriffe vornehmen müssten; im Bereich von Berufsgeheimnissen ist dies heute bereits üblich. Ist das Abhör-Risiko durch US-Behörden aufgrund von Verschlüsselungsmassnahmen hinreichend gering und steht gegen die verbleibenden Zugriffsmöglichkeiten von Behörden der volle Rechtsweg offen, können Standardvertragsklauseln weiterhin genügen.
Möglich ist auch, dass Unternehmen ihre Datenexporte in ihren Verträgen künftig detaillierter dokumentieren und Gutachten bezüglich ausländischer Zugriffsmöglichkeiten einholen müssen. Zusätzliche Klauseln dürften erforderlich werden, wie etwa die Pflicht des Empfängers von Daten, gegen solche Zugriffe mit allen rechtlichen Mitteln vorzugehen. Ohnehin wird erwartet, dass die Europäische Kommission nun neue Fassungen in ihrer Standardvertragsklauseln ausarbeitet. Eines muss auch beachtet werden: Die behördlichen Abhörmöglichkeiten, um die es in der EuGH-Entscheidung vor allem ging, betreffen hauptsächlich Konsumenten, die soziale Medien und andere öffentlich zugängliche Kommunikationsdienste von US-Online-Anbietern nutzen. Sie betreffen wenn überhaupt nur zweitrangig Unternehmen, die personenbezogene Daten über verschlüsselte Verbindungen beispielsweise zwischen europäischen und US-amerikanischen Tochtergesellschaften übertragen. Daher ist es gut möglich, dass die vom EuGH angesprochenen Risiken eines behördlichen «Abhörens» für die meisten der Konstellationen, in welchen Standardvertragsklauseln verwendet werden, aufgrund der heute üblichen Massnahmen zur Datensicherheit gar nicht erst in relevanter Weise bestehen.
Wirkungen unter dem DSG
Unter dem DSG kann weiterhin mit den Standardvertragsklauseln gearbeitet werden. Weil in der Schweiz aber die Verantwortlichkeit für einen angemessenen Datenschutz seit je her nicht beim EDÖB sondern dem jeweiligen Datenexporteur lag, ändert sich mit dem Entscheid hier rechtlich ebenfalls nichts: Wer Daten gestützt auf einen Vertrag in einen unsicheren Drittstaat übermittelt, muss sich (weiterhin) vergewissern, dass dieser tatsächlich einen hinreichenden Schutz bietet.
Es kann gut sein, dass der EDÖB sich aus den erwähnten rechtspolitischen Gründen nun auf den Standpunkt stellt, dass in gewissen Fällen die Standardvertragsklauseln nicht mehr genügen, nachdem sie dies bisher immer getan haben. Einen wirklich neuen Sachverhalt gibt es freilich auch hier nicht. Soweit einzig Exporte aus der Schweiz betroffen sind und sie nicht der DSGVO unterstehen, kann weiterhin mit den Standardvertragsklauseln der Europäischen Kommission gearbeitet werden; einen unmittelbaren rechtlichen Handlungsbedarf gibt es unter dem DSG nicht.
Streicht der EDÖB die Anerkennung der Standardvertragsklauseln?
Das würde sich erst ändern, wenn der EDÖB den Standardvertragsklauseln seine Anerkennung entzieht, was sie zwar nicht ungültig macht, aber im Rahmen von Art. 6 Abs. 3 DSG eine erweiterte Notifikationspflicht auslöst, in deren Rahmen ihm die Datenexportregelungen zur einzelfallweisen Stellungnahme binnen 30 Tagen vorgelegt werden müssten. Ob sich der EDÖB dies wirklich antun will, wird sich zeigen, denn es würde seine Arbeitslast massiv erhöhen – Unternehmen könnten die Verwendung der EU-Standardvertragsklauseln ihm nicht mehr durch ein einfaches Schreiben ohne weitere Erläuterungen zur Kenntnis bringen, wie es das bisherige Recht vorsieht. Unter dem revidierten DSG wird sich die Situation etwas ändern, da dort der Bundesrat entscheidet, welche Länder über einen angemessenen Schutz verfügen. Bis dahin dürfte Privacy Shield allerdings sowieso kein Thema mehr sein und hoffentlich auch Klarheit bestehen, wie es mit dem Thema Standardvertragsklauseln in Europa grundsätzlich weitergeht.
Eine andere Option für den EDÖB wäre, zwar an der Anerkennung der EU-Standardvertragsklauseln festzuhalten, aber im Rahmen der Bearbeitungsgrundsätze nach Art. 4 DSG und dem Erfordernis der Datensicherheit nach Art. 7 DSG für Exporte jedenfalls in gewissen unsicheren Drittstaaten zusätzliche Schutzmassnahmen zu fordern. Ähnliches tat der EDÖB seinerzeit, als der EuGH Safe Harbor für ungültig erklärte. Allerdings war auch dies eine rein rechtspolitisch motivierte «Praxisänderung» um der EU zu gefallen; veränderte Verhältnisse in Bezug auf das Risiko eines Lawful Access im Ausland gab es schon damals nicht wirklich.
Der konkrete Handlungsbedarf
Für Unternehmen in der Schweiz bedeutet dies, dass sie – wie schon nach Safe Harbor – früher oder später diejenigen Exporte von Personendaten aus der Schweiz (oder sonst Europa) identifizieren und dokumentieren müssen, die sie in unsicheren Drittstaaten unternehmen und feststellen sollten, ob diese nur auf Privacy Shield basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Soweit die betreffende Bearbeitung von Personendaten der DSGVO unterliegt, müssen sie damit sofort beginnen. Unter dem DSG haben sie mehr Zeit. Wo lediglich Privacy Shield verwendet wird, sollten sie jedenfalls unter der DSGVO zur Vermeidung eines Bussenrisikos umgehend die Standardvertragsklauseln abschliessen, auch wenn diesbezüglich noch viele Fragen offen sind. Es werden sicher schon bald erste (ernsthafte) Empfehlungen der Datenschutzbehörden vorliegen; erste Reaktionen wie jene des Berliner Beauftragten für Datenschutz und Informationsfreiheit, alle in den USA gespeicherten Personendaten zurück nach Europa zu verlagern, sind allerdings unvernünftig. Erst in den kommenden Wochen und Monaten wird sich zeigen, wie sehr die heutige Praxis im Umgang mit den Standardvertragsklauseln wirklich geändert werden muss. Auch nach Safe Harbor war der erste Aufschrei gross, legte sich dann aber weitgehend und Normalität kehrte wieder ein.
Autor: David Rosenthal