Swiss-U.S. Privacy Shield

Der Bundesrat hat im Januar 2017 von der Einrichtung eines neuen Rahmens für die Übermittlung von Personendaten aus der Schweiz in die USA Kenntnis genommen. Der sogenannte Privacy Shield ersetzt das vom EDÖB für ungenügend erklärte und nun auch vom Bundesrat formell aufgehobene Safe-Harbor-Abkommen zwischen der Schweiz und den USA. Wir haben die Verhandlungen zum Swiss-US Privacy Shield in beratender Funktion begleitet.

In unserem 23. Tätigkeitsbericht 2015/2016 haben wir über das Urteil des Europäischen Gerichtshofs zu Safe Harbor und die Folgen für die Schweiz berichtet (Ziffer 1.8.1). Im Januar 2016 passten wir unsere Staatenliste an und befanden, dass Datenübermittlungen in die Vereinigten Staaten nicht allein gestützt auf Safe Harbor erfolgen können. Es brauchte zusätzliche Massnahmen vertraglicher Natur, damit Daten in die Vereinigten Staaten datenschutzkonform übermittelt werden können.

Der Bundesrat beauftragte in der Folge das Staatssekretariat für Wirtschaft (SECO), eine interdepartementale Arbeitsgruppe zu gründen mit dem Ziel, ein neues Abkommen zu verhandeln, das Safe Harbor ablösen sollte. Wir nahmen als Experten an den Sitzungen teil und haben die Verhandlungen eng begleitet. Im August 2016 trat der Privacy Shield zwischen der EU und den USA in Kraft; seither haben sich einige Hundert Unternehmen unter diesem Regulativ zertifizieren lassen. In Bezug auf den Swiss-US Privacy Shield forderten wir, dass dieser mindestens dieselben Garantien für betroffene Personen bieten muss wie jener der EU. Dieses Ziel konnte in den Verhandlungen mit den USA erreicht werden.

Im Vergleich zum Safe-Harbor-Framework wurden die Anwendung der Datenschutzprinzipien für die teilnehmenden Unternehmen sowie die Verwaltung und die Überwachung durch die US-Behörden verstärkt. Dies zeigt sich in folgenden getroffenen Massnahmen:

  • Die Transparenz wird durch Bereitstellung entsprechender Instrumente für betroffene Personen auf den Websites der amerikanischen Behörden erhöht. So veröffentlichen die US-Behörden auf der Website des Swiss-US Privacy-Shield entsprechende Kontaktformulare, mit denen Privatpersonen ihre datenschutzrechtlichen Anfragen übermitteln können. Neben einer Liste mit den zertifizierten Unternehmen wird neu auch eine Liste mit denjenigen Unternehmen veröffentlicht werden, deren Zertifizierung abgelaufen ist oder entzogen wurde.
  • Die Aufsicht über die zertifizierten Unternehmen durch die amerikanischen Behörden wird verstärkt.
  • Betroffene Personen können sich nach Ausschöpfung eines unabhängigen Streitbeilegungsmechanismus an ein dem amerikanischen Recht unterworfenes Schiedsgericht wenden, um sich gegen persönlichkeitsverletzende Datenbearbeitungen zur Wehr zu setzen.
  • Das Swiss-US Privacy Shield wird jährlich einem Überprüfungsprozess unterliegen. Das SECO, die amerikanischen Aufsichtsbehörden und wir werden daran teilnehmen. Das SECO wird dem Bundesrat Bericht erstatten, und unsere Behörde wird unabhängig davon ihre eigenen Feststellungen und Schlussfolgerungen vornehmen.

Auch sicherheitsbehördliche Zugriffe auf Personendaten sollen neu stärker beaufsichtigt werden, weshalb ein Ombudsmechanismus im Bereich der amerikanischen nationalen Sicherheitsdienste eingeführt wird. Auf Anfrage von betroffenen Bürgern überprüft die Ombudsperson, ob Datenbearbeitungen korrekt vorgenommen wurden. Personen, die ein Zugangsgesuch gestellt haben, erhalten die Auskunft dass ihre Daten entweder gesetzeskonform bearbeitet wurden oder falls dies nicht der Fall war, die Gesetzeskonformität wieder hergestellt wurde.
Unser Fokus wird nun auf der praktischen Umsetzung des Swiss-US Privacy Shield liegen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/24--taetigkeitsbericht-2016-2017/swiss-u-s--privacy-shield.html