Das Datenschutzniveau in den USA ist auch nach Ansicht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten nicht ausreichend. Schweizer Firmen, die Daten in eine Cloud oder eine Tochterfirma in den USA transferieren, müssen sich daher neu vertraglich zusätzlich absichern.
Die Datenschutzvereinbarung «Privacy Shields» ist ein separates unilaterales Angebot der USA an die EU und die Schweiz. Darin ist festgehalten, dass wichtige Grundsätze des Schweizer Datenschutzes und der Datenschutz von Schweizer Konsumenten von zertifizierten US-Unternehmen eingehalten werden. Dabei geht es unter anderem um das Recht auf Information oder Löschung.
Mitte Juli hatte der EU-Gerichtshof (EuGH) im Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook diese Datenschutzvereinbarung zwischen der EU und den USA für ungültig erklärt.
Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Mass begrenzt, betonten die Richter. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen.
Damals hiess es vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb), dass das EuGH-Urteil für die Schweiz nicht direkt anwendbar sei. Nach einer vertieften Analyse ist der Edöb nun zum Schluss gekommen, dass es diesbezüglich keinen Unterschied in der Interpretation zwischen dem EU-Recht und dem Schweizer Recht gibt.
Zusätzliche Vertragsklauseln notwendig
Die EU habe eine gleichartige Datenschutzgesetzgebung wie die Schweiz. Die aktuelle Information diene der Rechtssicherheit, erklärte der Datenschutzbeauftragte Adrian Lobsiger am Dienstag auf Anfrage der Nachrichtenagentur Keystone-SDA.
Nach dem EuGH-Entscheid vom Juli genügt es für den Export von Personendaten in der EU nicht mehr, wenn US-Firmen gemäss dem Privacy-Shields-Regime zertifiziert sind, es braucht neu zusätzliche Garantien, insbesondere Standard-Vertragsklauseln.
Das Gleiche gilt nun für Schweizer Firmen, wenn sie Daten in eine Cloud oder eine Tochtergesellschaft in den USA transferieren. Es braucht neu besondere Schutzrechte. Alle Schweizer Unternehmen müssen diese in Vertragsklauseln zusätzlich absichern.
Der Datenschutzbeauftragte steht, wie Lobsiger erklärte, Unternehmen dabei als Service Public beratend zur Seite. Viele Unternehmen hätten allerdings bereits bisher diese zusätzlichen Klauseln verwendet, wenn sie nicht hätten ausschliessen können, dass bei der Datenübermittlung in die USA auch Daten von EU-Bürgern exportiert worden seien.
USA nicht mehr auf Liste
Gestützt auf das Bundesgesetz über den Datenschutz (DSG) hat der Edöb in seiner Staatenliste den Verweis auf einen «angemessenen Datenschutz unter bestimmten Bedingungen» für die USA gestrichen. Die Liste dient als Hilfsmittel für Schweizer Datenexporteure. Sie ist eine generelle behördliche Einschätzung über das in den dort aufgeführten Ländern herrschende Datenschutzniveau.
Die Liste entbindet Datenexporteure nicht von der Pflicht, das vermutete Schutzniveau bei Vorliegen von Anhaltspunkten für Datenschutzrisiken im konkreten Fall zu hinterfragen und Schutzmassnahmen zu veranlassen oder gar gänzlich vom Export abzusehen.
Lobsiger wies im Gespräch darauf hin, dass zusätzliche technische Massnahmen für alle Staaten mit intransparenten Behörden die Standardvertragsklauseln ergänzen sollten. Dies betreffe beispielsweise autoritäre Staaten in Asien. Dabei gehe es nicht darum, den Zugriff von Strafrichtern zu verhindern, sondern Schutzrechte gegen intransparente Behördenzugriffe zu gewährleisten.
(sda/mlo)