Make Privacy Great Again!
Mit dem «Swiss-U.S. Data Privacy Framework» wird der Datenfluss in die USA aus datenschutzrechtlicher Sicht zukünftig vereinfacht. Ganz ohne Massnahmen und Vorsicht geht es aber auch unter der neuen Rechtslage nicht.
Was ist geschehen?
Der Bundesrat hat am 14. August 2024 entschieden, die USA in die Liste der Staaten mit angemessenem Datenschutzniveau aufzunehmen, soweit das datenempfangende Unternehmen nach dem «Swiss-U.S. Data Privacy Framework» (DPF) zertifiziert ist (s. die Medienmitteilung hier). Die Änderung tritt am 15. September 2024 in Kraft. Dazu wird Anhang 1 der Datenschutzverordnung angepasst, welche die Länder mit angemessenem Datenschutzniveau listet.
Die Schweiz folgt damit der Europäischen Union und vereinfacht unter der Voraussetzung der Zertifizierung die Datenbekanntgabe in die USA.
Wie funktioniert das Data Privacy Framework?
Um am Programm teilzunehmen, muss sich ein US-Unternehmen selber nach dem DPF zertifizieren und sich öffentlich zur Einhaltung verpflichten. Die Teilnahme ist freiwillig, aber sobald man zertifiziert ist, werden die entsprechenden Pflichten nach US-amerikanischem Recht einklagbar.
Inhaltlich sieht das DPF eine Reihe von Pflichten für die zertifizierten Unternehmen vor, die wir aus dem Schweizer Datenschutzgesetz (DSG) oder aus der Europäischen Datenschutz-Grundverordnung (DSGVO) bestens kennen. So z.B.:
- Personendaten sind zu löschen, sobald der Bearbeitungszweck wegfällt
- es müssen Datensicherheitsmassnahmen zum Schutz vor Missbrauch, Verlust oder unbefugtem Zugriff implementiert werden
- betroffene Personen verfügen über Betroffenenrechte (z.B. Auskunft oder Berichtigung) gegenüber den US-Unternehmen
- bei rechtswidriger Datenbearbeitung sind Rechtsbehelfe vorgesehen, z.B. ein unentgeltlicher Streitbeilegungsmechanismus
- beim Zugriff von US-Behörden auf aus der Schweiz stammende Personendaten besteht ein Beschwerdemechanismus
Die Einhaltung der Grundsätze werden vom US Department of Commerce (DoC) überwacht und durch die Federal Trade Commission (FTC) durchgesetzt. Es wird zudem laufend publiziert, welche Unternehmen die Zertifizierung jährlich erneuern, diese aufgrund fehlender Compliance verlieren oder freiwillig aufgeben.
Was bedeutet dies für Organisationen in der Schweiz?
Beim Transfer von Personendaten in Staaten ohne genügenden Datenschutz müssen zusätzliche Garantien implementiert werden. In der Praxis werden dazu häufig die Standardvertragsklauseln (SCC) abgeschlossen. Dabei muss man jeweils aufwändig analysieren, ob die Rechtslage im Empfängerstaat die Wirksamkeit der SCC nicht wieder aufhebt (Stich- oder fast schon Fluchwort «Transfer Impact Assessment» (TIA)).
Ist ein Unternehmen nach dem DPF zertifiziert, sind keine solche Garantien mehr notwendig und die USA gilt als Empfängerstaat mit genügendem Datenschutzniveau.
Das bedeutet aber nicht «Leinen los» und dass Daten ohne jegliche Massnahmen übermittelt werden dürfen. Es wird empfohlen, folgende Schritte zu durchlaufen und Massnahmen zu treffen:
- Werden Daten an ein US-Unternehmen übermittelt? Achtung, unter die Bekanntgabe fallen die lokale Verschiebung der Daten und der Fernzugriff («remote access») gleichermassen.
- Prüfen, ob das Unternehmen zertifiziert ist: https://www.dataprivacyframework.gov/list (es sind bereits diverse Unternehmen, wie Microsoft, Google oder Amazon, zertifiziert).
- Bei einer Auftragsdatenbearbeitung ist eine genügende Vereinbarung (ADV) abzuschliessen
- Eine dem Risiko angemessene Datensicherheit ist sicherzustellen (TOMs).
- Das datenempfangende Unternehmen ist zu verpflichten, die Zertifizierung jährlich zu erneuern.
- Das datenempfangende Unternehmen hat umgehend bekannt zu geben, falls es von der DPF-Liste entfernt wird, was die Gründe sind und wie mit den Konsequenzen umgegangen wird.
- Das datenempfangende Unternehmen ist zu verpflichten, nahtlos eine alternative Garantie zu implementieren, falls das DPF für ungültig erklärt werden sollte (z.B. Abschluss SCC).
Es bleibt einer Organisation zudem unbenommen, den Datentransfer weiterhin bzw. parallel auf die SCC zu stützen. Ob die SCC dann als primäre Grundlage für den Datentransfer oder als Auffangnetz dienen, sollte vertraglich geregelt werden, um Widersprüche zwischen den Rechtsgrundlagen zu verhindern.
Gibt es Besonderheiten für den öffentlichen Sektor?
Das DPF unterscheidet prinzipiell nicht zwischen Datentransfers durch öffentlich-rechtliche bzw. private Organisationen. Das Schweizer Datenschutzrecht sieht aber Besonderheiten bei Datenbekanntgaben im öffentlichen Sektor vor: Das Bundesgesetz über den Datenschutz (DSG) wie auch die kantonalen Datenschutzgesetze verlangen grundsätzlich eine gesetzliche Grundlage bei der (grenzüberschreitenden) Bekanntgabe von Personendaten.
Diese Voraussetzung besteht unabhängig des DPF, ist jedoch im öffentlichen Sektor von entscheidender Bedeutung (demokratische und rechtsstaatliche Funktion).
Je nach Art der bekanntgegebenen Daten bestehen sodann unterschiedliche Anforderungen an die gesetzliche Grundlage: Wonach bei gewöhnlichen Personendaten ein Gesetz im materiellen Sinn (Verordnung) ausreichend ist, bedarf es beim Transfer besonders schützenswerter Personendaten eine Gesetzesgrundlage im formellen Sinn.
Hurray, free flow of data to the USA?
Die Vorgängermodelle des DPF (Safe Harbour und Privacy Shield) wurden in der Vergangenheit beide zu Fall gebracht. Dies durch die wegweisenden Entscheide des Europäischen Gerichtshofs (EuGH), die als «Schrems I» und «Schrems II» in die Datenschutzgeschichte eingingen. Hintergrund sind Klagen der Nichtregierungsorganisation noyb (none of your business) unter Leitung des Gründers und Datenschutzanwalts Max Schrems. Man sah die Grundrechte verletzt, da EU-Bürgerinnen und -Bürger bei Datentransfers gestützt auf die besagten Mechanismen keine wirksame Möglichkeit hatten, sich gegen unrechtmässige Überwachung und Datenzugriffe durch US-Behörden zu wehren. Dies wurde vom EuGH in den Entscheiden bestätigt und in der Folge auch durch den Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) so festgehalten.
noyb hat die gerichtliche Überprüfung des neuen DPF bereits angekündigt und bekannt gegeben, dass sie den Meccano als nicht grundrechtskonform erachten. Daneben überwacht auch der Bundesrat die Rechtslage in den USA laufend und überprüft den Angemessenheitsbeschluss zu den USA regelmässig (erstmals in einem Jahr). Änderungen von Rechtsprechung und Gesetzgebung in den USA können dadurch zu einer Anpassung bzw. Aufhebung der Angemessenheit führen.
Das DPF bietet aktuell Rechtssicherheit, welche jedoch von beschränkter Dauer sein könnte. Sich blind (nur) auf das DPF zu verlassen, wird daher nicht empfohlen. Denn wie geschildert ist nicht ausgeschlossen, dass die angekündigten rechtlichen Schritte gegen das DPF Erfolg haben werden. Dies ganz nach dem Motto:
If we fight (for privacy), we win!