VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Wir entwickeln nicht nur juristische Lösungen für unsere Klientinnen und Klienten, wir entwickeln auch neue Formate dafür.
VISCHER Legal Innovation Lab
Red Ink
Karriere
Kategorien: Data & Privacy, Blog
Mehr als ein Jahr nach der Europäischen Kommission hat nun auch der Schweizer Bundesrat seinen Angemessenheitsbeschluss für das "Data Privacy Framework" (DPF) der USA gefällt und erleichtert damit im Datenschutz die Bekanntgabe von Personendaten in die USA. Am 14. August 2024 beschloss er eine Anpassung des Anhangs 1 der Datenschutz-Verordnung (DSV), die am 15. September 2024 in Kraft tritt. Die Anpassung war überfällig und ist weitgehend unbestritten, jedenfalls in der Schweiz.
Zusammengefasst ermöglicht der Beschluss die Übermittlung von Personendaten in die USA an US-Unternehmen ohne weitere Massnahmen, vorausgesetzt die Unternehmen sind unter dem DPF auch für die Schweiz zertifiziert. Sind sie es nicht, braucht es weiterhin einen Datenschutzvertrag mit ihnen, aber auch in diesem Fall erhöht der Beschluss die Rechtssicherheit der Übermittlung. Das ist deshalb relevant, weil die Verletzung der betreffenden Vorgaben des Datenschutzgesetzes (DSG) strafbar sein kann.
Über den Hintergrund hatten wir bereits in einem Blog-Beitrag am 17. Oktober 2022 ausführlich berichtet. Anlass war damals, dass der US-Präsident im Rahmen der Executive Order (EO) 14086 weitere Zusicherungen in Bezug auf nachrichtendienstliche Zugriffe auf in die USA übermittelte Daten machte, um der (unseres Erachtens primär politisch motivierten) Kritik des Europäischen Gerichtshofs (EuGH) zu begegnen. Diese hatte im "Schrems II"-Entscheid dazu geführt, dass Übermittlungen in die USA datenschutzrechtlich problematisch waren, jedenfalls wenn Grund zur Annahme bestand, dass es zu solchen Zugriffen kommen kann.
Es ist umstritten, ob der EO 14086 genügt, um das vom EuGH festgestellte Problem zu lösen, und es wird in den nächsten Jahren mit einem "Schrems III" gerechnet, wo genau diese Frage geklärt werden dürfte. Dann wird möglicherweise auch der neuste Angemessenheitsbeschluss der Europäischen Kommission gekippt, der im Sommer 2023 gestützt auf den EO 14086 erging und seither wieder einen praktisch ungehinderten Datenfluss zwischen dem EWR und den USA ermöglicht. Geschieht dies, haben wir wieder einen Scherbenhaufen. Es wird seitens des EuGH wohl erneut ein politischer Entscheid werden, aber wir erachten die Chancen als gut, dass der Angemessenheitsbeschluss der Kommission der Überprüfung standhält. Die Schweiz hat jeweils aus opportunistischen Gründen nachgezogen, sowohl bei Schrems II als auch beim jetzigen Angemessenheitsbeschluss. Das mindert dessen Nutzen freilich in keiner Weise.
Der Grund, warum die Schweiz mehr als ein Jahr brauchte, um mit ihrem Angemessenheitsbeschluss nachzuziehen, lag für einmal nicht an der Schweiz, sondern daran, dass er zuerst eine Beurteilung der Angemessenheit des Schweizer Datenschutzes und der Behördenzugriffe nach Schweizer Recht durch die USA erforderte, weil der EO 14086 dies so vorsieht. Der dafür nötige Entscheid des US-Generalbundesanwalts erging am 7. Juni 2024, womit der Weg für den Bundesrat frei wurde, den Angemessenheitsbeschluss zu erlassen.
Das Bundesamt für Justiz hat seine Beurteilung der Angemessenheit des Datenschutzes in den USA unter dem "Data Privacy Framework" und im Lichte der dortigen Möglichkeiten für Behördenzugriffe (dem sog. Lawful Access) wiederum schon am 30. April 2024 abgeschlossen und dem Bundesrat übergeben. Es analysiert darin sowohl die Vorgaben des Data Privacy Frameworks als auch dessen Durchsetzung sowie die behördlichen Möglichkeiten der US-Behörden, auf Daten in den USA zuzugreifen, und Massnahmen zum Schutz betroffener Personen. Die Beurteilung kommt zum Schluss "dass die Vereinigten Staaten ein angemessenes Schutzniveau für Personendaten gewährleisten, die ein Verantwortlicher oder ein Auftragsbearbeiter in der Schweiz im Rahmen des Swiss-U.S. DPF an zertifizierte Organisationen in den Vereinigten Staaten übermittelt."
Das Bundesamt für Justiz ist in seiner Schlussfolgerung zwar so knapp und allgemein wie schon zuvor die Europäische Kommission in den Erwägungen ihres Angemessenheitsbeschlusses vor einem Jahr, aber mit seinem darauf gestützten Beschluss macht der Bundesrat klar: Die Zugriffsmöglichkeiten der US-Behörden auf Daten – und dazu gehört auch der vielzitierte "CLOUD Act" – sind mit den Vorgaben des Schweizer Rechts ohne Weiteres vereinbar. Damit erteilt er den aus Datenschützerkreisen vereinzelt, aber prominent geäusserten Behauptungen, der CLOUD Act sei "ordre public"-widrig, eine klare Absage. Auch ein im letzten Jahr erschienenes Gutachten schlug in diese Kerbe. Dies sorgte speziell im Bereich der öffentlichen Verwaltung für einige Verwirrung ob der Frage der Zulässigkeit der Inanspruchnahme von Providern mit US-Bezug.
Der Bundesrat teilt diese Bedenken offenkundig nicht (sie sind vermutlich ohnehin auf ein blosses Missverständnis zum US-Recht seitens gewisser Autoren und Datenschutzbehörden zurückzuführen). Er hätte ansonsten angesichts der Vorgaben von Art. 8 Abs. 2 DSV nie den Angemessenheitsbeschluss fällen dürfen; so folgt aus diesen Vorgaben unter anderem, dass der Lawful Access in den USA mit den hiesigen Vorstellungen eines Rechtsstaats kompatibel sein müssen. Auch in der EU wurde nie ernsthaft daran angenommen, der CLOUD Act sei mit dem europäischen Datenschutz unvereinbar; seine Regelung entstammt immerhin der Cybercrime-Konvention des Europarats. Wir hoffen, dass diese Diskussion für den Datenschutz nun hoffentlich vom Tisch ist (bis sie allenfalls mit "Schrems III" wieder aufflammt).
Nichts geändert hat sich mit dem Angemessenheitsbeschluss allerdings beim Berufs- und Amtsgeheimnis. Hier gilt weiterhin, dass grundsätzlich kein Grund zur Annahme bestehen darf, dass beispielsweise die Nutzung von Cloud-Services eines ausländischen Hyperscalers dazu führt, dass es zu einem ausländischen Behördenzugriff (Foreign Lawful Access) kommt. Das gilt für alle Behörden ausserhalb der Schweiz, ob in Deutschland, Holland und Irland oder eben in den USA und hat mit dem Datenschutz an sich nichts zu tun. Das Thema ist für den Datenschutz nur insofern relevant, als dass eine Auftragsbearbeitung datenschutzrechtlich nur dann zulässig ist, wenn damit keine Geheimhaltungspflichten verletzt werden.
Berufs- und Amtsgeheimnisträger werden also immer dann, wenn sie einen Cloud-Service oder sonst eine Dienstleistung mit Auslandsbezug einsetzen, eine Beurteilung der Wahrscheinlichkeit eines ausländischen Behördenzugriffs (Foreign Lawful Access Risk Assessment, FLARA) machen müssen, wozu es in der Schweiz eine inzwischen etablierte Methodik gibt. Ausnahmen sind Fälle, in denen die Bekanntgabe von Geheimnisdaten ins Ausland gesetzlich oder vertraglich bzw. durch einen passenden Waiver auch bei erhöhtem Risiko eines Behördenzugriffs erlaubt sind. Es gibt heute aber inzwischen ein anerkanntes Set an Massnahmen, mit welchem sich ein solcher Behördenzugriff gerade in der Cloud vernünftig einschränken lässt.
Die Pressemitteilung des Bundesrats zum Angemessenheitsbeschlusses für das Swiss-US DPF spricht nur von der Übermittlung von Personendaten in die USA an "zertifizierte" US-Unternehmen. Das ist aus seiner Sicht zwar richtig, für die Praxis jedoch viel zu eng. Der Angemessenheitsbeschluss kann faktisch auch für die meisten anderen Übermittlungen von Personendaten in die USA genutzt werden. Das ist deshalb relevant, weil die meisten US-Unternehmen entweder keine Zertifizierung haben oder sie gar nicht bekommen können. So steht die Zertifizierung gewissen Branchen nicht offen. Auch für den konzerninternen Datenverkehr in die USA kann regelmässig nicht auf eine Zertifizierung abgestellt werden, weil sie geschäftlich keinen Sinn macht.
Welche Unternehmen zertifiziert sind, ist hier abrufbar. Dabei ist immer zu prüfen, ob – wie üblich – die Zertifizierung auch das "Swiss-U.S. Data Privacy Framework" abdeckt und nicht nur jenes der EU, und für welche Datenkategorie die Zertifizierung erfolgt ist (HR-Daten oder auch Nicht-HR-Daten).
Der Beschluss des Bundesrates für die USA hat dabei nicht das US-Datenschutzrecht als angemessen bezeichnet. Ein einheitliches, geschweige denn nach unserem Verständnis angemessenes US-Datenschutzrecht gibt es nämlich bisher nicht. Um US-Unternehmen trotzdem die Erleichterungen einer Datenübermittlung mittels Angemessenheitsbeschluss zu ermöglichen, haben die USA das DPF ins Leben gerufen, das – wie seine beiden Vorgänger "Safe Harbor" und "Privacy Shield" – eine Reihe von Datenschutz-Regeln definiert (analog zum europäischen Datenschutzrecht), dem sich US-Unternehmen durch eine Erklärung und Zertifizierung selbst unterwerfen können, wobei nach Mitarbeitenden-Daten und anderen Personendaten unterschieden wird.
Halten diese Unternehmen diese Datenschutz-Regeln nicht ein, können sie wegen Verletzung ihres öffentlichen Datenschutz-Zusicherungen in den USA verfolgt werden, was durchaus auch vorkommt. Zusammen mit einigen weiteren Massnahmen kompensiert die Teilnahme an diesem Programm somit das Fehlen eines US-Datenschutzrechts. Darum gilt der Angemessenheitsbeschluss nur für zertifizierte Unternehmen. Das DPF gibt es sowohl in einer Fassung für den EWR (und UK) als auch für die Schweiz.
Unter dem DPF zertifiziert sind heute vor allem US-Provider und US-Online-Anbieter wie Microsoft, Google, Meta oder Amazon, die auf diese Weise die Nutzung ihrer Dienstleistungen und den konzerninternen Datenverkehr vereinfachen wollen, weil ohne Angemessenheitsbeschluss weitere Massnahmen erforderlich sind. Im globalen Datenverkehr, welcher z.B. in grossen Konzernen stattfindet zwischen den diversen Gruppengesellschaften, spielt das DPF dagegen kaum eine Rolle. Für sie wäre eine Zertifizierung wie erwähnt zu aufwändig.
Nun war dieses Konzept der Selbst-Zertifizierung nie das wirkliche Problem beim Datentransfer in die USA; es existiert schon seit Jahren unter wechselnden Namen. Das Problem waren die bereits erwähnten nachrichtendienstlichen Zugriffe. Diese betreffen allerdings alle Datenübermittlungen in die USA in gleicher Weise – auch solche, die auf Basis der EU-Standardvertragsklauseln (EU SCC) erfolgt sind. Indem dieses Problem jedenfalls für den Moment aus Sicht des Bundesrats mit der EO 14086 gelöst ist und diese aus Sicht der USA nun für alle Übermittlungen aus der Schweiz gilt, d.h. auch für solche, die nicht unter dem Swiss-US DPF erfolgen, profitieren somit auch jene davon, die sich für einen angemessenen Datenschutz beim Empfänger in den USA nur auf die EU SCC verlassen. Das wiederum sind die meisten Fälle, in denen Daten in die USA übermittelt werden.
Für die meisten US-Cloud-Provider, die ihr Geschäft über EU-Tochtergesellschaften betreiben (wie z.B. Microsoft, AWS, Google, OpenAI), ist das Swiss-US-DPF übrigens gar nicht nötig bzw. findet sowieso keine Anwendung: Hier werden Daten zunächst in die EU übermittelt und gehen erst von dort aus in die USA – und profitierten so schon seit Sommer 2023 vom Angemessenheitsbeschluss der Europäischen Kommission. Der Angemessenheitsbeschluss des Bundesrats ist nur für Direkttransfers in die USA relevant, wobei im Datenschutzrecht nicht auf die physische Übermittlung abgestellt wird, sondern darauf, wo sich der Empfänger rechtlich befindet. Befindet sich das Rechenzentrum in Irland, aber derjenige, der es betreibt und mit dem ein Schweizer Unternehmen den Vertrag hat, ist in den USA, ist dies rechtlich gesehen eine Übermittlung von Daten in die USA, auch wenn die Daten in Irland bleiben.
Wie aber kann beim Einsatz von EU SCC vom Angemessenheitsbeschluss profitiert werden? Auch das ist leider etwas kompliziert. Hierzu ist ein Blick in Art. 14 der EU SCC nötig, wo sich die Parteien verpflichten, vor der Übermittlung von Personendaten im Rahmen der EU SCC zu prüfen, ob es Grund zur Annahme gibt, dass es im Land des Empfängers zu problematischen Behördenzugriffen kommt. Diese Prüfung nennt sich "Transfer Impact Assessment" (TIA) und wird nach allgemeinem Verständnis vom Datenschutzrecht vorgeschrieben bzw. erwartet – auch in der Schweiz.
Werden nun Daten ausserhalb des Swiss-US DPF in die USA übermittelt, muss derjenige, der deswegen auf die EU SCC als Schutzmassnahme vertraut, selbst prüfen, welche Möglichkeiten der Behördenzugriffe es in den USA gibt und ob sie problematisch sind. Er muss also im Grunde dasselbe tun wie der Bundesrat in seinem Angemessenheitsbeschluss. Da kommt dieser gerade passend: Derjenige, der die Daten in die USA übermitteln will, kann es sich im Grunde einfach machen und nach Lektüre der Ausführungen des Bundesrats erklären, dass er es genauso sieht und daher die Übermittlung von Personendaten in die USA unproblematisch ist. Wenn der Bundesrat zu diesem Schluss kommt, ist kaum zu rechnen, dass einem privaten Datenübermittler vorgeworfen wird, er hätte seine Prüfung nicht korrekt gemacht; jedenfalls wird ihm daraus strafrechtlich kein Strick gedreht werden können. Um dieses "pro forma"-TIA zu dokumentieren, haben wir eine Vorlage entworfen (hier abrufbar), wie wir sie in ähnlicher Form bereits für das EU-Recht gemacht haben (hier).
Die folgende Grafik zeigt, wie im Falle eines Transfers in die USA konkret vorzugehen ist ab dem 15. September 2024:
Jene, die bereits die EU SCC vereinbart haben, müssen im Grunde nichts tun, ausser, die EU SCC sind ihnen aus den zuletzt genannten Gründen ein Dorn im Auge. Dann kann sich eine Anpassung des Vertrags – allenfalls mit dem erwähnten Rückfallmechanismus – lohnen. Auch Unternehmen, die sich auf Binding Corporate Rules (BCR) abstützen, müssen nichts tun. Ebenfalls kein Handlungsbedarf besteht in der Regel dann, wenn einer der Hyperscaler oder sonst ein Online-Provider benutzt wird, bei welchem der Vertrag mit dessen Niederlassung im EWR abgeschlossen worden ist, wie das z.B. bei Microsoft, AWS und Google üblicherweise der Fall ist: In diesem Fall gehen die Daten rechtlich gesehen zuerst in den EWR und die Weiterübermittlung von dort in die USA unter dem EU-Recht erfolgt und damit bereits unter dem EU-US DPF geschützt ist, das ja bereits seit Sommer 2023 gilt (Ausnahmen können dort bestehen, wo wie etwa im Falle von AWS der Provider in seinem DPA vorgesehen hat, dass der Schweizer Kunde mit dem US-Mutterhaus die EU SCC auch direkt zu vereinbaren hat).
Wir gehen davon aus, dass das DPF zwar genutzt werden wird im Verkehr mit Providern, aber dem DPF nicht wirklich vertraut wird als langfristige Absicherung – die Erfahrungen damit sind zu schlecht ("Schrems I", "Schrems II"). Faktisch dürfte aber die Frage der Datenschutzkonformität bei der Übermittlung von Personendaten in die USA als jahreslanges Dauerbrennerthema vorderhand vom Tisch sein (wie erwähnt ausgenommen bei Berufs- und Amtsgeheimnissen), und das ist gut so. Auch in der EU ist es seit dem dortigen Angemessenheitsbeschluss seitens der Aufsichtsbehörden ruhig geworden um das Thema. Es gibt wichtigere Themen im Datenschutz.
David Rosenthal
Team Head
Zahlreiche Schweizer Unternehmen, aber auch öffentliche Einrichtungen setzen, auf die Cloud-Dienste...
Welcher Erlass gilt wo und wie? Was ist dabei zu tun? Sieben kurze Schulungsvideos In...
In vielen Banken, Versicherungen und anderen Schweizer Finanzinstituten laufen derzeit Projekte zum...