{"id":192,"date":"2021-01-27T19:33:00","date_gmt":"2021-01-27T19:33:00","guid":{"rendered":"https:\/\/publicsector.ch\/eugh-urteil-schrems-ii-gilt-es-auch-fur-kantonale-behorden-192"},"modified":"2024-04-29T09:36:05","modified_gmt":"2024-04-29T09:36:05","slug":"eugh-urteil-schrems-ii-gilt-es-auch-fur-kantonale-behorden-192","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/eugh-urteil-schrems-ii-gilt-es-auch-fur-kantonale-behorden-192\/","title":{"rendered":"EuGH-Urteil \u201cSchrems II\u201d: Gilt es auch f\u00fcr kantonale Beh\u00f6rden?"},"content":{"rendered":"

Mit dem EuGH-Urteil \u00abSchrems II\u00bb entf\u00e4llt f\u00fcr EU-Unternehmungen die Grundlage zur vereinfachten Daten\u00fcbermittlung in die USA. Das gilt aufgrund einer analogen Bestimmung im DSG auch f\u00fcr Schweizer Unternehmungen und Bundesbeh\u00f6rden. Doch was gilt eigentlich f\u00fcr kantonale Beh\u00f6rden?<\/em> <\/p>\n

Was das Urteil besagt<\/h3>\n

Mit dem Urteil Schrems II<\/a> hat der Europ\u00e4ische Gerichtshof (EuGH) das EU-USA Abkommen \u00abPrivacy Shield\u00bb f\u00fcr ung\u00fcltig erkl\u00e4rt. Darin anerkannten die EU und die USA gegenseitig die Angemessenheit ihrer Datenschutzniveaus, was Datentransfers in die USA ohne zus\u00e4tzliche Garantien erm\u00f6glichte. Durch den Wegfall dieses Abkommens besteht f\u00fcr Unternehmungen, die dem Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO<\/a>) unterstehen, jetzt Handlungsbedarf. Die DSGVO sieht n\u00e4mlich vor, dass personenbezogene Daten nur weitergegeben werden d\u00fcrfen, wenn im Drittland ein angemessenes Schutzniveau sichergestellt wird.<\/p>\n

Die Situation in der Schweiz<\/h3>\n

Die Schweiz muss zwar Urteile des EuGH zur DSGVO nicht direkt umsetzen. Da das Bundesgesetz \u00fcber den Datenschutz (DSG<\/a>) aber denselben Angemessenheitsmechanismus vorsieht und die Schweiz mit einem eigenen CH-USA Privacy Shield ebenfalls am Datenschutzarrangement mit den USA teilnahm, ist das Urteil auch f\u00fcr die Schweiz von Bedeutung. Der Eidgen\u00f6ssische Datenschutzbeauftragte (ED\u00d6B) \u00e4nderte die Bemerkungen zu den USA in seiner L\u00e4nderliste dahingehend, dass das CH-USA Privacy Shield die Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht mehr erf\u00fclle.<\/a> Schweizer Unternehmungen und Bundesbeh\u00f6rden m\u00fcssen deshalb neu bei der \u00dcbermittlung personenbezogener Daten in die USA eine Pr\u00fcfung des Schutzniveaus vornehmen. Ob ein solches durch Garantien in Standardvertragsklauseln (sog. \u00abStandard Contractual Clauses\u00bb, kurz \u00abSCC\u00bb) zugesichert werden kann, ist derzeit noch unklar. Der ED\u00d6B empfiehlt den Schweizer Unternehmungen jedoch andere L\u00f6sungen anzustreben \u2013 beispielsweise die vorg\u00e4ngige Anonymisierung der Daten \u2013oder andernfalls auf den Datenexport in die USA zu verzichten.<\/p>\n

Was gilt in den Kantonen?<\/h3>\n

Doch was heisst das alles nun f\u00fcr kantonale Beh\u00f6rden? Darf ein Kantonsspital personenbezogene Daten von Patienten in der Cloud eines amerikanischen IT-Dienstleisters abspeichern? Da das DSG auf kantonale \u00f6ffentlich-rechtliche Institutionen keine Anwendung findet, gelten die Vorschriften des entsprechenden Datenschutzgesetzes des Tr\u00e4gerkantons des Spitals. Dieser ist in der Ausgestaltung seines Datenschutzgesetzes aber nicht g\u00e4nzlich frei, sondern untersteht gewissen v\u00f6lkerrechtlichen Minimal-Standards.<\/p>\n

Zu nennen ist einerseits die Schengen-Richtlinie 2016\/680<\/a> zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, welche in Art. 35 und 36 die \u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder im Rahmen der Polizei- und Justizzusammenarbeit weitgehend analog zur DSGVO regelt (angemessenes Schutzniveau oder SCC). Die Schweiz ist durch das Schengen-Assoziierungsabkommen verpflichtet, die Richtlinie umzusetzen, was auf Bundesebene mit Bundesgesetz vom 28. September 2018<\/a> erfolgt ist. Andererseits hat die Schweiz das Europarats-Abkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108<\/a>) sowie deren Zusatzprotokoll Nr. 181<\/a> ratifiziert. Letzteres sieht vor, dass grenz\u00fcberschreitende Daten\u00fcbermittlung an Drittstaaten nur gestattet sind, wenn der Empf\u00e4ngerstaat ein enstprechendes Datenschutzniveau aufzuweisen hat \u2013 massgeblich ist auch hier das \u201cangemessene Schutzniveau\u201d (Art. 2). Das neuste Protokoll zur Konvention 108 von 2018 (Vertrag-Nr. 223<\/a>), welches vom Bundesparlament bereits genehmigt wurde<\/a>, f\u00fchrt diese zur DSGVO analogen Regeln f\u00fcr den Verkehr personenbezogener Daten weiter (vgl. Art. 17). Das kantonale Datenschutzgesetz des Tr\u00e4gerkantons im obigen Beispiel des Kantonsspitals beinhaltet im Soll-Zustand also Vorschriften, wonach bei der Weitergabe von personenbezogenen Daten an Drittl\u00e4nder gepr\u00fcft werden muss, ob das entsprechende Land \u00fcber ein angemessenes Schutzniveau verf\u00fcgt. <\/p>\n

Doch wie sieht der tats\u00e4chliche Ist-Zustand bei den Kantonen heute aus? In den meisten kantonalen Datenschutzgesetzen ist eine Umsetzung dieser v\u00f6lkerrechtlichen Vorgaben bereits vorgenommen und eine entsprechende Klausel zur Weitergabe von Daten in Drittl\u00e4nder mit angemessenem Schutzniveau verankert worden (bspw. in den Kantonen ZH, AG, BE, BS). In diesen Kantonen wird das Urteil Schrems II indirekt Wirkung entfalten, wenn es um die Frage geht, welche L\u00e4nder ein angemessenes Schutzniveau einhalten. Besonders klar ist die Lage in St. Gallen und Z\u00fcrich, wo im Gesetz<\/a> bzw. in der Verordnung<\/a> dazu auf das DSG und die Liste des ED\u00d6B verwiesen wird. Zusammenfassend sind kantonale Beh\u00f6rden wie unser fiktives Kantonsspital gut beraten, die Entwicklungen in der EU mitzuverfolgen und nebst den \u00c4usserungen der kantonalen Datenschutzbeh\u00f6rden auch die Empfehlungen des ED\u00d6B hinsichtlich des angemessenen Datenschutzniveaus zu beachten. In Bezug auf Daten\u00fcbermittlungen an amerikanische IT-Dienstleister ist aufgrund des Urteils Schrems II also auch f\u00fcr kantonale \u00f6ffentliche Organe erh\u00f6hte Vorsicht geboten.<\/p>\n

\n
\n

Dieser Beitrag wurde mit Unterst\u00fctzung von Gian Heimann, Student Rechtswissenschaften an der Universit\u00e4t Z\u00fcrich, verfasst. Danke, Gian!<\/p>\n

\n
\n

PS: Die Datenschutzbeauftragte des Kantons Z\u00fcrich hat sich unterdessen hier<\/a> zur Bedeutung von Schrems II f\u00fcr die \u00f6ffentlichen Organe des Kantons ge\u00e4ussert.<\/p>","protected":false},"excerpt":{"rendered":"

Mit dem EuGH-Urteil \u00abSchrems II\u00bb entf\u00e4llt f\u00fcr EU-Unternehmungen die Grundlage zur vereinfachten Daten\u00fcbermittlung in die USA. Das gilt aufgrund einer analogen Bestimmung im DSG auch f\u00fcr Schweizer Unternehmungen und Bundesbeh\u00f6rden. [\u2026]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21],"tags":[89,39,90,91],"class_list":["post-192","post","type-post","status-publish","format-standard","hentry","category-datenschutz","tag-cantons","tag-data-protection","tag-schrems-ii","tag-swiss-law"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=192"}],"version-history":[{"count":1,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/192\/revisions"}],"predecessor-version":[{"id":348464,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/192\/revisions\/348464"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}