Close
Wonach suchen Sie?
Site search
16. August 2024 Swiss-US DPF: Daten mit und ohne in die USA übermitteln
  • Schweiz zieht mit einem Jahr Verzögerung nach der EU nach
  • Berufs- und Amtsgeheimnis nicht betroffen
  • Konkrete Anleitung für die Praxis
  • EU SCC sollten als Fallback weiterhin vereinbart werden
  • Sie können weiterhin benutzt werden (und viele werden das tun)

Mehr als ein Jahr nach der Europäischen Kommission hat nun auch der Schweizer Bundesrat seinen Angemessenheitsbeschluss für das "Data Privacy Framework" (DPF) der USA gefällt und erleichtert damit im Datenschutz die Bekanntgabe von Personendaten in die USA. Am 14. August 2024 beschloss er eine Anpassung des Anhangs 1 der Datenschutz-Verordnung (DSV), die am 15. September 2024 in Kraft tritt. Die Anpassung war überfällig und ist weitgehend unbestritten, jedenfalls in der Schweiz.

Zusammengefasst ermöglicht der Beschluss die Übermittlung von Personendaten in die USA an US-Unternehmen ohne weitere Massnahmen, vorausgesetzt die Unternehmen sind unter dem DPF auch für die Schweiz zertifiziert. Sind sie es nicht, braucht es weiterhin einen Datenschutzvertrag mit ihnen, aber auch in diesem Fall erhöht der Beschluss die Rechtssicherheit der Übermittlung. Das ist deshalb relevant, weil die Verletzung der betreffenden Vorgaben des Datenschutzgesetzes (DSG) strafbar sein kann.

Der politische Hintergrund der Angelegenheit

Über den Hintergrund hatten wir bereits in einem Blog-Beitrag am 17. Oktober 2022 ausführlich berichtet. Anlass war damals, dass der US-Präsident im Rahmen der Executive Order (EO) 14086 weitere Zusicherungen in Bezug auf nachrichtendienstliche Zugriffe auf in die USA übermittelte Daten machte, um der (unseres Erachtens primär politisch motivierten) Kritik des Europäischen Gerichtshofs (EuGH) zu begegnen. Diese hatte im "Schrems II"-Entscheid dazu geführt, dass Übermittlungen in die USA datenschutzrechtlich problematisch waren, jedenfalls wenn Grund zur Annahme bestand, dass es zu solchen Zugriffen kommen kann.

Es ist umstritten, ob der EO 14086 genügt, um das vom EuGH festgestellte Problem zu lösen, und es wird in den nächsten Jahren mit einem "Schrems III" gerechnet, wo genau diese Frage geklärt werden dürfte. Dann wird möglicherweise auch der neuste Angemessenheitsbeschluss der Europäischen Kommission gekippt, der im Sommer 2023 gestützt auf den EO 14086 erging und seither wieder einen praktisch ungehinderten Datenfluss zwischen dem EWR und den USA ermöglicht. Geschieht dies, haben wir wieder einen Scherbenhaufen. Es wird seitens des EuGH wohl erneut ein politischer Entscheid werden, aber wir erachten die Chancen als gut, dass der Angemessenheitsbeschluss der Kommission der Überprüfung standhält. Die Schweiz hat jeweils aus opportunistischen Gründen nachgezogen, sowohl bei Schrems II als auch beim jetzigen Angemessenheitsbeschluss. Das mindert dessen Nutzen freilich in keiner Weise.

Gegenseitige Überprüfung

Der Grund, warum die Schweiz mehr als ein Jahr brauchte, um mit ihrem Angemessenheitsbeschluss nachzuziehen, lag für einmal nicht an der Schweiz, sondern daran, dass er zuerst eine Beurteilung der Angemessenheit des Schweizer Datenschutzes und der Behördenzugriffe nach Schweizer Recht durch die USA erforderte, weil der EO 14086 dies so vorsieht. Der dafür nötige Entscheid des US-Generalbundesanwalts erging am 7. Juni 2024, womit der Weg für den Bundesrat frei wurde, den Angemessenheitsbeschluss zu erlassen.

Das Bundesamt für Justiz hat seine Beurteilung der Angemessenheit des Datenschutzes in den USA unter dem "Data Privacy Framework" und im Lichte der dortigen Möglichkeiten für Behördenzugriffe (dem sog. Lawful Access) wiederum schon am 30. April 2024 abgeschlossen und dem Bundesrat übergeben. Es analysiert darin sowohl die Vorgaben des Data Privacy Frameworks als auch dessen Durchsetzung sowie die behördlichen Möglichkeiten der US-Behörden, auf Daten in den USA zuzugreifen, und Massnahmen zum Schutz betroffener Personen. Die Beurteilung kommt zum Schluss "dass die Vereinigten Staaten ein angemessenes Schutzniveau für Personendaten gewährleisten, die ein Verantwortlicher oder ein Auftragsbearbeiter in der Schweiz im Rahmen des Swiss-U.S. DPF an zertifizierte Organisationen in den Vereinigten Staaten übermittelt."

Ende des Streits um den CLOUD Act?

Das Bundesamt für Justiz ist in seiner Schlussfolgerung zwar so knapp und allgemein wie schon zuvor die Europäische Kommission in den Erwägungen ihres Angemessenheitsbeschlusses vor einem Jahr, aber mit seinem darauf gestützten Beschluss macht der Bundesrat klar: Die Zugriffsmöglichkeiten der US-Behörden auf Daten – und dazu gehört auch der vielzitierte "CLOUD Act" – sind mit den Vorgaben des Schweizer Rechts ohne Weiteres vereinbar. Damit erteilt er den aus Datenschützerkreisen vereinzelt, aber prominent geäusserten Behauptungen, der CLOUD Act sei "ordre public"-widrig, eine klare Absage. Auch ein im letzten Jahr erschienenes Gutachten schlug in diese Kerbe. Dies sorgte speziell im Bereich der öffentlichen Verwaltung für einige Verwirrung ob der Frage der Zulässigkeit der Inanspruchnahme von Providern mit US-Bezug.

Der Bundesrat teilt diese Bedenken offenkundig nicht (sie sind vermutlich ohnehin auf ein blosses Missverständnis zum US-Recht seitens gewisser Autoren und Datenschutzbehörden zurückzuführen). Er hätte ansonsten angesichts der Vorgaben von Art. 8 Abs. 2 DSV nie den Angemessenheitsbeschluss fällen dürfen; so folgt aus diesen Vorgaben unter anderem, dass der Lawful Access in den USA mit den hiesigen Vorstellungen eines Rechtsstaats kompatibel sein müssen. Auch in der EU wurde nie ernsthaft daran angenommen, der CLOUD Act sei mit dem europäischen Datenschutz unvereinbar; seine Regelung entstammt immerhin der Cybercrime-Konvention des Europarats. Wir hoffen, dass diese Diskussion für den Datenschutz nun hoffentlich vom Tisch ist (bis sie allenfalls mit "Schrems III" wieder aufflammt).

Berufs- und Amtsgeheimnis: Alles beim Alten

Nichts geändert hat sich mit dem Angemessenheitsbeschluss allerdings beim Berufs- und Amtsgeheimnis. Hier gilt weiterhin, dass grundsätzlich kein Grund zur Annahme bestehen darf, dass beispielsweise die Nutzung von Cloud-Services eines ausländischen Hyperscalers dazu führt, dass es zu einem ausländischen Behördenzugriff (Foreign Lawful Access) kommt. Das gilt für alle Behörden ausserhalb der Schweiz, ob in Deutschland, Holland und Irland oder eben in den USA und hat mit dem Datenschutz an sich nichts zu tun. Das Thema ist für den Datenschutz nur insofern relevant, als dass eine Auftragsbearbeitung datenschutzrechtlich nur dann zulässig ist, wenn damit keine Geheimhaltungspflichten verletzt werden.

Berufs- und Amtsgeheimnisträger werden also immer dann, wenn sie einen Cloud-Service oder sonst eine Dienstleistung mit Auslandsbezug einsetzen, eine Beurteilung der Wahrscheinlichkeit eines ausländischen Behördenzugriffs (Foreign Lawful Access Risk Assessment, FLARA) machen müssen, wozu es in der Schweiz eine inzwischen etablierte Methodik gibt. Ausnahmen sind Fälle, in denen die Bekanntgabe von Geheimnisdaten ins Ausland gesetzlich oder vertraglich bzw. durch einen passenden Waiver auch bei erhöhtem Risiko eines Behördenzugriffs erlaubt sind.  Es gibt heute aber inzwischen ein anerkanntes Set an Massnahmen, mit welchem sich ein solcher Behördenzugriff gerade in der Cloud vernünftig einschränken lässt.

Nur für zertifizierte Unternehmen

Die Pressemitteilung des Bundesrats zum Angemessenheitsbeschlusses für das Swiss-US DPF spricht nur von der Übermittlung von Personendaten in die USA an "zertifizierte" US-Unternehmen. Das ist aus seiner Sicht zwar richtig, für die Praxis jedoch viel zu eng. Der Angemessenheitsbeschluss kann faktisch auch für die meisten anderen Übermittlungen von Personendaten in die USA genutzt werden. Das ist deshalb relevant, weil die meisten US-Unternehmen entweder keine Zertifizierung haben oder sie gar nicht bekommen können. So steht die Zertifizierung gewissen Branchen nicht offen. Auch für den konzerninternen Datenverkehr in die USA kann regelmässig nicht auf eine Zertifizierung abgestellt werden, weil sie geschäftlich keinen Sinn macht.

Welche Unternehmen zertifiziert sind, ist hier abrufbar. Dabei ist immer zu prüfen, ob – wie üblich – die Zertifizierung auch das "Swiss-U.S. Data Privacy Framework" abdeckt und nicht nur jenes der EU, und für welche Datenkategorie die Zertifizierung erfolgt ist (HR-Daten oder auch Nicht-HR-Daten).

Was ist das "Data Privacy Framework"?

Der Beschluss des Bundesrates für die USA hat dabei nicht das US-Datenschutzrecht als angemessen bezeichnet. Ein einheitliches, geschweige denn nach unserem Verständnis angemessenes US-Datenschutzrecht gibt es nämlich bisher nicht. Um US-Unternehmen trotzdem die Erleichterungen einer Datenübermittlung mittels Angemessenheitsbeschluss zu ermöglichen, haben die USA das DPF ins Leben gerufen, das – wie seine beiden Vorgänger "Safe Harbor" und "Privacy Shield" – eine Reihe von Datenschutz-Regeln definiert (analog zum europäischen Datenschutzrecht), dem sich US-Unternehmen durch eine Erklärung und Zertifizierung selbst unterwerfen können, wobei nach Mitarbeitenden-Daten und anderen Personendaten unterschieden wird.

Halten diese Unternehmen diese Datenschutz-Regeln nicht ein, können sie wegen Verletzung ihres öffentlichen Datenschutz-Zusicherungen in den USA verfolgt werden, was durchaus auch vorkommt. Zusammen mit einigen weiteren Massnahmen kompensiert die Teilnahme an diesem Programm somit das Fehlen eines US-Datenschutzrechts. Darum gilt der Angemessenheitsbeschluss nur für zertifizierte Unternehmen. Das DPF gibt es sowohl in einer Fassung für den EWR (und UK) als auch für die Schweiz.

Unter dem DPF zertifiziert sind heute vor allem US-Provider und US-Online-Anbieter wie Microsoft, Google, Meta oder Amazon, die auf diese Weise die Nutzung ihrer Dienstleistungen und den konzerninternen Datenverkehr vereinfachen wollen, weil ohne Angemessenheitsbeschluss weitere Massnahmen erforderlich sind. Im globalen Datenverkehr, welcher z.B. in grossen Konzernen stattfindet zwischen den diversen Gruppengesellschaften, spielt das DPF dagegen kaum eine Rolle. Für sie wäre eine Zertifizierung wie erwähnt zu aufwändig. 

Die wirkliche Herausforderung war nicht das DPF

Nun war dieses Konzept der Selbst-Zertifizierung nie das wirkliche Problem beim Datentransfer in die USA; es existiert schon seit Jahren unter wechselnden Namen. Das Problem waren die bereits erwähnten nachrichtendienstlichen Zugriffe. Diese betreffen allerdings alle Datenübermittlungen in die USA in gleicher Weise – auch solche, die auf Basis der EU-Standardvertragsklauseln (EU SCC) erfolgt sind. Indem dieses Problem jedenfalls für den Moment aus Sicht des Bundesrats mit der EO 14086 gelöst ist und diese aus Sicht der USA nun für alle Übermittlungen aus der Schweiz gilt, d.h. auch für solche, die nicht unter dem Swiss-US DPF erfolgen, profitieren somit auch jene davon, die sich für einen angemessenen Datenschutz beim Empfänger in den USA nur auf die EU SCC verlassen. Das wiederum sind die meisten Fälle, in denen Daten in die USA übermittelt werden.

Für die meisten US-Cloud-Provider, die ihr Geschäft über EU-Tochtergesellschaften betreiben (wie z.B. Microsoft, AWS, Google, OpenAI), ist das Swiss-US-DPF übrigens gar nicht nötig bzw. findet sowieso keine Anwendung: Hier werden Daten zunächst in die EU übermittelt und gehen erst von dort aus in die USA – und profitierten so schon seit Sommer 2023 vom Angemessenheitsbeschluss der Europäischen Kommission.  Der Angemessenheitsbeschluss des Bundesrats ist nur für Direkttransfers in die USA relevant, wobei im Datenschutzrecht nicht auf die physische Übermittlung abgestellt wird, sondern darauf, wo sich der Empfänger rechtlich befindet. Befindet sich das Rechenzentrum in Irland, aber derjenige, der es betreibt und mit dem ein Schweizer Unternehmen den Vertrag hat, ist in den USA, ist dies rechtlich gesehen eine Übermittlung von Daten in die USA, auch wenn die Daten in Irland bleiben.

Relevanz des Beschlusses für Einsatz der EU SCC

Wie aber kann beim Einsatz von EU SCC vom Angemessenheitsbeschluss profitiert werden? Auch das ist leider etwas kompliziert. Hierzu ist ein Blick in Art. 14 der EU SCC nötig, wo sich die Parteien verpflichten, vor der Übermittlung von Personendaten im Rahmen der EU SCC zu prüfen, ob es Grund zur Annahme gibt, dass es im Land des Empfängers zu problematischen Behördenzugriffen kommt. Diese Prüfung nennt sich "Transfer Impact Assessment" (TIA) und wird nach allgemeinem Verständnis vom Datenschutzrecht vorgeschrieben bzw. erwartet – auch in der Schweiz.

Werden nun Daten ausserhalb des Swiss-US DPF in die USA übermittelt, muss derjenige, der deswegen auf die EU SCC als Schutzmassnahme vertraut, selbst prüfen, welche Möglichkeiten der Behördenzugriffe es in den USA gibt und ob sie problematisch sind. Er muss also im Grunde dasselbe tun wie der Bundesrat in seinem Angemessenheitsbeschluss. Da kommt dieser gerade passend: Derjenige, der die Daten in die USA übermitteln will, kann es sich im Grunde einfach machen und nach Lektüre der Ausführungen des Bundesrats erklären, dass er es genauso sieht und daher die Übermittlung von Personendaten in die USA unproblematisch ist. Wenn der Bundesrat zu diesem Schluss kommt, ist kaum zu rechnen, dass einem privaten Datenübermittler vorgeworfen wird, er hätte seine Prüfung nicht korrekt gemacht; jedenfalls wird ihm daraus strafrechtlich kein Strick gedreht werden können. Um dieses "pro forma"-TIA zu dokumentieren, haben wir eine Vorlage entworfen (hier abrufbar), wie wir sie in ähnlicher Form bereits für das EU-Recht gemacht haben (hier).

Wie konkret vorgehen?

Die folgende Grafik zeigt, wie im Falle eines Transfers in die USA konkret vorzugehen ist ab dem 15. September 2024:

  1. Es ist auf der Website des DPF-Programms zu prüfen, ob der Empfänger im Programm zertifiziert ist. Dabei ist darauf zu achten, ob die Zertifizierung auch die relevanten Daten-Kategorien abdeckt. Unterschieden wird zwischen Daten über Mitarbeitende ("HR Data") und andere Daten ("Non-HR Data"). Hinweis: Gemäss einem deutschen Bericht gibt es angeblich unterschiedliche Auffassungen darüber, ob die Zertifizierung für "HR-Daten" nur solche des Importeurs (angeblich die US-Sicht) oder (auch) solche des Exporteurs (die EU-Sicht) abdeckt. Unserer Ansicht nach umfasst die Zertifizierung von HR-Daten auch solche des Exporteurs, und dies scheint grundsätzlich auch der Standpunkt der USA zu sein. Es liegt hier also vermutlich ein Missverständnis vor. In den FAQ auf der DPF-Website stellen die USA klar, dass die Datenschutz-Policy auch für HR-Daten verwendet werden kann, die "aus der Europäischen Union und gegebenenfalls dem Vereinigten Königreich (und Gibraltar) und/oder der Schweiz im Rahmen des Beschäftigungsverhältnisses übermittelt werden" (siehe Q7). Selbstredend muss die Datenschutz-Policy und die Zertifizierung die Daten, für deren Übermittlung sich der Exporteur auf das DPF stützen möchte, abdecken.
  2. Falls der Empfänger zertifiziert ist, kann auf dieser Basis fortgefahren werden. Rein rechtlich gesehen sind keine weiteren Schritte nötig; die Bekanntgabe von Personendaten an den Empfänger in den USA ist im Rahmen von Art. 16 Abs. 1 DSG ohne Weiteres zulässig. In der Praxis wird aber empfohlen, dass im Vertrag mit dem Empfänger vereinbart wird, dass dieser die DPF-Zertifizierung aufrecht zu erhalten hat oder mindestens dem Exporteur mitteilt, falls dies nicht mehr der Fall sein sollte (und in diesem Fall bereit ist, die Übermittlung von Personendaten in die USA anders zu regeln oder zu akzeptieren, dass keine Personendaten mehr übermittelt werden können, mit den entsprechenden Folgen).
  3. Ist der Empfänger nicht zertifiziert, muss die Bekanntgabe von Personendaten an ihn auf andere Weise abgesichert werden. Das geschieht in der Praxis üblicherweise auf der Basis der EU-Standardvertragsklauseln (EU SCC), die bei Übermittlungen aus der Schweiz um einen Zusatz ergänzt werden müssen (siehe unsere ausführliche FAQ, in welcher der Angemessenheitsbeschluss allerdings nicht nachgeführt ist). Das ist in aller Regel problemlos möglich, weil die EU SCC weltweit akzeptiert sind. Keine solche Regelung ist immerhin dann nötig, wenn eine der Ausnahmen nach Art. 17 DSG greift, z.B. wenn die Vertragsabwicklung mit oder für die betroffene Person die Übermittlung erfordert. Bisher war es so, dass beim Einsatz der EU SCC noch ein sog. Transfer Impact Assessment (TIA) gemacht werden musste, um zu prüfen, ob Grund zur Annahme besteht, dass es in den USA zu problematischen Behördenzugriffen kommt. Das ist rechtlich weiterhin erforderlich, da die Übermittlung sich ausserhalb des Angemessenheitsbeschlusses bewegt. Faktisch aber kann sich der Exporteur der Daten auf die Erwägungen des Bundesrates stützen und mit diesem Formular von uns pro forma der guten Ordnung halber, wer es korrekt machen will, dokumentieren, dass er ein TIA gemacht hat. Einmal genügt.
  4. In der Praxis stellt sich schliesslich die Frage, ob beides gemacht werden soll, d.h. im Falle eines Empfängers, der zertifiziert ist, trotzdem auch noch die EU SCC abgeschlossen werden sollen. Wir empfehlen dies, wo sich die Gelegenheit ergibt. Denn es gibt gewisse Unsicherheiten, ob und wie lange der Angemessenheitsbeschluss aufrechterhalten bleiben wird. Würde er gekippt, weil der Bundesrat nach einem entsprechenden EuGH-Entscheid ("Schrems III") im autonomen Nachvollzug den Beschluss aufhebt, würden die EU SCC mindestens eine weitere Grundlage darstellen, auf deren Basis sich die Übermittlung der Personendaten einigermassen stützen könnte; der Transfer wäre zwar wie damals bei "Schrems II" von gewissen Unsicherheiten begleitet, aber wohl nicht klar unzulässig. Das ist auch die übliche Praxis: Es werden beide Absicherungen zum Transfer von Personendaten in die USA vorgesehen in den Verträgen. Klar ist aber auch, dass solange der Angemessenheitsbeschluss genutzt werden kann, diesem den Vorzug gegeben wird, d.h. im Vertrag festgehalten wird, dass die Übermittlung der Daten in die USA nur auf Basis der Zertifizierung unter dem DPF erfolgt. Rechtlich ist es zwar nicht nötig, dass zwischen DP und EU SCC gewählt wird. Die EU SCC haben aber die Besonderheit, dass sie überschiessende Pflichten vorsehen (und zudem nicht verändert werden können), was sich z.B. in einer unbegrenzten Haftung niederschlägt oder in Informationspflichten. Für manche Unternehmen (insbesondere Provider) ist es daher durchaus interessant, die EU SCC zwar zu vereinbaren, sie aber "auszusetzen", bis sie allenfalls für die Übermittlung gebraucht werden (dann braucht es auch kein TIA bis zu deren Einsatz). Das wird im Vertrag mit einer entsprechenden Formulierung erreicht, die klarstellt, dass die Übermittlung in die USA solange auf den Angemessenheitsbeschluss und die Zertifizierung unter dem DPF besteht, einzig auf dieser Basis erfolgt und nicht auf jener der EU SCC. Darum empfehlen wir, diesen Punkt ("Rückfallmechanismus") im Vertrag ausdrücklich zu regeln, und nicht einfach parallel die EU SCC zu vereinbaren – ausser, die strengen Regeln der EU SCC sind gewünscht (was kundenseitig durchaus der Fall sein kann).

Jene, die bereits die EU SCC vereinbart haben, müssen im Grunde nichts tun, ausser, die EU SCC sind ihnen aus den zuletzt genannten Gründen ein Dorn im Auge. Dann kann sich eine Anpassung des Vertrags – allenfalls mit dem erwähnten Rückfallmechanismus – lohnen. Auch Unternehmen, die sich auf Binding Corporate Rules (BCR) abstützen, müssen nichts tun. Ebenfalls kein Handlungsbedarf besteht in der Regel dann, wenn einer der Hyperscaler oder sonst ein Online-Provider benutzt wird, bei welchem der Vertrag mit dessen Niederlassung im EWR abgeschlossen worden ist, wie das z.B. bei Microsoft, AWS und Google üblicherweise der Fall ist: In diesem Fall gehen die Daten rechtlich gesehen zuerst in den EWR und die Weiterübermittlung von dort in die USA unter dem EU-Recht erfolgt und damit bereits unter dem EU-US DPF geschützt ist, das ja bereits seit Sommer 2023 gilt (Ausnahmen können dort bestehen, wo wie etwa im Falle von AWS der Provider in seinem DPA vorgesehen hat, dass der Schweizer Kunde mit dem US-Mutterhaus die EU SCC auch direkt zu vereinbaren hat). 

 

Wir gehen davon aus, dass das DPF zwar genutzt werden wird im Verkehr mit Providern, aber dem DPF nicht wirklich vertraut wird als langfristige Absicherung – die Erfahrungen damit sind zu schlecht ("Schrems I", "Schrems II"). Faktisch dürfte aber die Frage der Datenschutzkonformität bei der Übermittlung von Personendaten in die USA als jahreslanges Dauerbrennerthema vorderhand vom Tisch sein (wie erwähnt ausgenommen bei Berufs- und Amtsgeheimnissen), und das ist gut so. Auch in der EU ist es seit dem dortigen Angemessenheitsbeschluss seitens der Aufsichtsbehörden ruhig geworden um das Thema. Es gibt wichtigere Themen im Datenschutz.

David Rosenthal

Autor