Beginn Inhaltsbereich

Beginn Navigator

Verlaufsnavigation

Ende Navigator



Nach Safe-Harbor-Urteil: Hinweise zur Datenübermittlung in die USA

In seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof das Datenschutzabkommen Safe Harbor zwischen der EU und den USA für ungültig erklärt. Das Gericht hielt fest, dass die Übermittlung personenbezogener Daten in die USA unter dem Regime des Safe-Harbor-Abkommens problematisch ist. Was bedeutet das nun für die Schweiz?

Der Gerichtshof der Europäischen Union (EuGH) hat in seinem Urteil vom 6. Oktober 2015 in der Rechtssache C-362/14 (Schrems) die Entscheidung der Kommission, wonach die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig erklärt. Wie der EuGH dabei unter ausdrücklichem Hinweis auf die Enthüllungen des ehemaligen Mitarbeiters der U.S. National Security Agency, Edward Snowden, festhält, bestehe für Daten, die im Rahmen des sogenannten Safe-Harbor-Abkommens in die USA übermittelt werden, kein genügender Schutz gegen unverhältnismässige Behördenzugriffe. Auch existiere für Personen ausserhalb der USA kein wirksamer Rechtsschutz vor solchen Zugriffen.

Die Schweiz hat mit den USA im Jahre 2008 ein vergleichbares und inhaltlich sehr ähnliches Abkommen, das U.S.-Swiss Safe Harbor Framework (nachfolgend Safe-Harbor-Abkommen Schweiz-USA) abgeschlossen. Wir haben daher die aktuelle Situation für Datenübermittlungen in die USA analysiert und sind zum Schluss gelangt, dass die vom EuGH aufgezeigten Schwachstellen auch auf das Safe-Harbor-Abkommen Schweiz-USA zutreffen:

Letzteres ist ein System mit Selbstzertifizierung für Unternehmen, welche Daten aus der Schweiz in die USA importieren möchten. Die darin enthaltenen Datenschutzgarantien binden jedoch nur die zertifizierten Unternehmen selbst, nicht aber staatliche Behörden. Es existieren keine anderweitigen innerstaatlichen oder vertraglichen Regelungen, welche Behördenzugriffe auf diese Daten einschränken. Dagegen lassen gewisse innerstaatliche Regelungen die generelle Speicherung von Personendaten durch US-Behörden ohne Differenzierung, Einschränkung, Ausnahme oder Beschränkung des Zugangs oder der Nutzung zu. Damit besteht kein angemessener Schutz gegen unverhältnismässige Zugriffe auf aus der Schweiz in die USA übermittelte Personendaten durch US-Behörden.

Dieser Umstand stand bei der Prüfung nötiger Garantien im Abkommen zwischen der Schweiz und den USA im Jahre 2008 noch nicht im Zentrum. Damals konnte in guten Treuen davon ausgegangen werden, dass die Behördenpraxis bei der Bearbeitung von Personendaten in beiden Ländern vergleichbar ist, weshalb hier kein Regelungsbedarf erkannt wurde. Durch die Enthüllungen von Snowden haben sich nun aber deutliche Diskrepanzen in der Auffassung der beiden Länder darüber gezeigt, was zur Wahrung der nationalen Sicherheit zulässig sein soll. So bestehen heute zumindest ernsthafte Zweifel daran, ob die durch US-Geheimdienste praktizierten Zugriffe auf Personendaten von Nicht-US-Bürgern nach Schweizer Auffassung noch als verhältnismässig eingestuft werden können. Zudem hat sich gezeigt, dass die zertifizierten US-Unternehmen Zugangsgesuchen von US-Behörden in der Regel sofort nachkommen, ohne dass die Garantien des Safe-Harbor-Abkommens berücksichtigt würden.

Auch die im Abkommen vorgesehenen Massnahmen zum Rechtsschutz der betroffenen Personen binden stets nur die zertifizierten Unternehmen selbst. Ein wirksamer Rechtsschutz gegen Behördenzugriffe existiert dagegen für Personen ausserhalb der USA nicht. Diese haben damit keine Möglichkeiten, sich in einem rechtsstaatlichen Verfahren gegen die Bearbeitung ihrer Daten durch US-Behörden zu wehren.

Auch wenn der Entscheid des EuGH, das europäische Safe-Harbor-Abkommen für ungültig zu erklären, das Schweizer Abkommen nicht direkt betrifft, wird die Schweiz nach Auffassung des EDÖB aufgrund der inzwischen bekannt gewordenen Ereignisse nicht unverändert am eigenen Abkommen festhalten können. Vielmehr gilt es dafür zu sorgen, dass die Schweiz den von den oben ausgeführten Risiken betroffenen Personen für die Wahrung ihrer Grundrechte ein Instrumentarium zur Verfügung stellt, welches dem europäischen Datenschutzniveau nicht nachsteht. Insbesondere gilt es zu verhindern, dass die in Aussicht stehenden neuen Vereinbarungen der Europäischen Union (EU) mit den USA durch einen Datentransfer EU-Schweiz-USA umgangen werden könnten. Die Weiterführung der gegenseitigen Anerkennung eines angemessenen Datenschutzniveaus ist für die Schweiz wie auch die EU von grosser politischer und wirtschaftlicher Bedeutung.

Auch die verbleibende Möglichkeit, ein angemessenes Schutzniveau beim Datenaustausch mit den USA mit vertraglichen Garantien sicherzustellen (gemäss Art. 6 Abs. 2 des Datenschutzgesetzes), kann einen unverhältnismässigen Zugriff auf Personendaten durch U.S.-Behörden nicht verhindern, da ein solcher Vertrag zwischen Exporteur und Importeur für die Behörde nicht bindend ist.

Mit Blick auf die Zuständigkeit des Bundesrats zum Abschluss völkerrechtlicher Verträge über den Datenschutz kann eine Klärung dieser Situation nur auf politischer Ebene erwirkt werden. Wir haben daher dem Bundesrat mit Bericht vom 23. Oktober 2016 empfohlen, das U.S.-Swiss Safe Harbor Framework neu zu verhandeln, um die Anforderungen des Schweizer Datenschutzrechts zu erfüllen. Da nur ein gemeinsames Vorgehen mit der EU und ihren Mitgliedsstaaten zielführend ist, soll die Schweiz ihr Vorgehen mit den zuständigen Behörden der Europäischen Union koordinieren. Am 16. Dezember 2015 hat der Bundesrat denn auch das Staatssekretariat für Wirtschaft (SECO) mit der Federführung für die weiteren Arbeiten in Zusammenhang mit dem Abschluss eines neuen, die Persönlichkeitsrechte der Betroffenen besser schützenden, Abkommens beauftragt. Diese mit den Bestrebungen der EU zu koordinierenden Arbeiten sind zurzeit im Gange.

Da der Datenaustausch mit Unternehmen in den USA bis zur Klärung der Lage nicht einfach unterbrochen werden kann, müssen sich betroffene Unternehmen für die Zwischenzeit zusätzlich absichern. Dabei stehen ergänzende vertragliche Garantien im Vordergrund. Auch wenn damit, wie bereits ausgeführt, das Problem unverhältnismässiger Behördenzugriffe nicht vollständig gelöst werden kann, sollte auf diesem Weg das Datenschutzniveau im Vergleich zu den Garantien des Safe-Harbor-Abkommen Schweiz-USA immerhin verbessert werden. Wir empfehlen deshalb, dass zusätzlich vertraglich folgendes geregelt wird:

  • Wenn der Zugriff auf Personendaten durch US-Behörden schon nicht eingeschränkt oder verhindert werden kann, sollte dieser Mangel durch erhöhte Anforderungen an die Transparenz der Datenbearbeitung wenigstens ansatzweise kompensiert werden. Dementsprechend sollten die betroffenen Personen klar und möglichst umfassend darüber informiert werden, dass ihre Daten in die USA übermittelt werden und dass die dortigen Behörden darauf zugreifen können.

  • Betroffene Personen sollten bei der Geltendmachung ihrer Rechte in den USA im zumutbaren Rahmen unterstützt werden. Zugangsgesuche von U.S.-Behörden sollen nicht unbesehen erfüllt werden. Vielmehr sollen die Unternehmen die ihnen offenstehenden Verfahren zur Verhinderung solcher Zugriffe tatsächlich durchführen und darauf ergehende Urteile akzeptieren.

Dabei gilt es zu beachten, dass die betroffenen Personen in der Schweiz stets die Möglichkeit haben, eine geplante Datenlieferung in die USA durch ein Zivilgericht beurteilen zu lassen. In diesen Fällen sollte mit der Datenlieferung bis zum Vorliegen eines rechtskräftigen Urteils zugewartet werden.

Weiterführende Informationen dazu können auf unserer Website unter
www.derbeauftragte.ch, Datenschutz - Handel und Wirtschaft - Übermittlung ins Ausland nachgelesen werden.

Zurück zur Übersicht Safe Harbor

Zuletzt aktualisiert am: 28.06.2016

Ende Inhaltsbereich