Mit dem EuGH-Urteil «Schrems II» entfällt für EU-Unternehmungen die Grundlage zur vereinfachten Datenübermittlung in die USA. Das gilt aufgrund einer analogen Bestimmung im DSG auch für Schweizer Unternehmungen und Bundesbehörden. Doch was gilt eigentlich für kantonale Behörden?
Was das Urteil besagt
Mit dem Urteil Schrems II hat der Europäische Gerichtshof (EuGH) das EU-USA Abkommen «Privacy Shield» für ungültig erklärt. Darin anerkannten die EU und die USA gegenseitig die Angemessenheit ihrer Datenschutzniveaus, was Datentransfers in die USA ohne zusätzliche Garantien ermöglichte. Durch den Wegfall dieses Abkommens besteht für Unternehmungen, die dem Anwendungsbereich der EU-Datenschutz-Grundverordnung (DSGVO) unterstehen, jetzt Handlungsbedarf. Die DSGVO sieht nämlich vor, dass personenbezogene Daten nur weitergegeben werden dürfen, wenn im Drittland ein angemessenes Schutzniveau sichergestellt wird.
Die Situation in der Schweiz
Die Schweiz muss zwar Urteile des EuGH zur DSGVO nicht direkt umsetzen. Da das Bundesgesetz über den Datenschutz (DSG) aber denselben Angemessenheitsmechanismus vorsieht und die Schweiz mit einem eigenen CH-USA Privacy Shield ebenfalls am Datenschutzarrangement mit den USA teilnahm, ist das Urteil auch für die Schweiz von Bedeutung. Der Eidgenössische Datenschutzbeauftragte (EDÖB) änderte die Bemerkungen zu den USA in seiner Länderliste dahingehend, dass das CH-USA Privacy Shield die Anforderungen an einen angemessenen Datenschutz i.S. des DSG nicht mehr erfülle. Schweizer Unternehmungen und Bundesbehörden müssen deshalb neu bei der Übermittlung personenbezogener Daten in die USA eine Prüfung des Schutzniveaus vornehmen. Ob ein solches durch Garantien in Standardvertragsklauseln (sog. «Standard Contractual Clauses», kurz «SCC») zugesichert werden kann, ist derzeit noch unklar. Der EDÖB empfiehlt den Schweizer Unternehmungen jedoch andere Lösungen anzustreben – beispielsweise die vorgängige Anonymisierung der Daten –oder andernfalls auf den Datenexport in die USA zu verzichten.
Was gilt in den Kantonen?
Doch was heisst das alles nun für kantonale Behörden? Darf ein Kantonsspital personenbezogene Daten von Patienten in der Cloud eines amerikanischen IT-Dienstleisters abspeichern? Da das DSG auf kantonale öffentlich-rechtliche Institutionen keine Anwendung findet, gelten die Vorschriften des entsprechenden Datenschutzgesetzes des Trägerkantons des Spitals. Dieser ist in der Ausgestaltung seines Datenschutzgesetzes aber nicht gänzlich frei, sondern untersteht gewissen völkerrechtlichen Minimal-Standards.
Zu nennen ist einerseits die Schengen-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, welche in Art. 35 und 36 die Übermittlung personenbezogener Daten in Drittländer im Rahmen der Polizei- und Justizzusammenarbeit weitgehend analog zur DSGVO regelt (angemessenes Schutzniveau oder SCC). Die Schweiz ist durch das Schengen-Assoziierungsabkommen verpflichtet, die Richtlinie umzusetzen, was auf Bundesebene mit Bundesgesetz vom 28. September 2018 erfolgt ist. Andererseits hat die Schweiz das Europarats-Abkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108) sowie deren Zusatzprotokoll Nr. 181 ratifiziert. Letzteres sieht vor, dass grenzüberschreitende Datenübermittlung an Drittstaaten nur gestattet sind, wenn der Empfängerstaat ein enstprechendes Datenschutzniveau aufzuweisen hat – massgeblich ist auch hier das “angemessene Schutzniveau” (Art. 2). Das neuste Protokoll zur Konvention 108 von 2018 (Vertrag-Nr. 223), welches vom Bundesparlament bereits genehmigt wurde, führt diese zur DSGVO analogen Regeln für den Verkehr personenbezogener Daten weiter (vgl. Art. 17). Das kantonale Datenschutzgesetz des Trägerkantons im obigen Beispiel des Kantonsspitals beinhaltet im Soll-Zustand also Vorschriften, wonach bei der Weitergabe von personenbezogenen Daten an Drittländer geprüft werden muss, ob das entsprechende Land über ein angemessenes Schutzniveau verfügt.
Doch wie sieht der tatsächliche Ist-Zustand bei den Kantonen heute aus? In den meisten kantonalen Datenschutzgesetzen ist eine Umsetzung dieser völkerrechtlichen Vorgaben bereits vorgenommen und eine entsprechende Klausel zur Weitergabe von Daten in Drittländer mit angemessenem Schutzniveau verankert worden (bspw. in den Kantonen ZH, AG, BE, BS). In diesen Kantonen wird das Urteil Schrems II indirekt Wirkung entfalten, wenn es um die Frage geht, welche Länder ein angemessenes Schutzniveau einhalten. Besonders klar ist die Lage in St. Gallen und Zürich, wo im Gesetz bzw. in der Verordnung dazu auf das DSG und die Liste des EDÖB verwiesen wird. Zusammenfassend sind kantonale Behörden wie unser fiktives Kantonsspital gut beraten, die Entwicklungen in der EU mitzuverfolgen und nebst den Äusserungen der kantonalen Datenschutzbehörden auch die Empfehlungen des EDÖB hinsichtlich des angemessenen Datenschutzniveaus zu beachten. In Bezug auf Datenübermittlungen an amerikanische IT-Dienstleister ist aufgrund des Urteils Schrems II also auch für kantonale öffentliche Organe erhöhte Vorsicht geboten.
Dieser Beitrag wurde mit Unterstützung von Gian Heimann, Student Rechtswissenschaften an der Universität Zürich, verfasst. Danke, Gian!
PS: Die Datenschutzbeauftragte des Kantons Zürich hat sich unterdessen hier zur Bedeutung von Schrems II für die öffentlichen Organe des Kantons geäussert.