Nach dem Scheitern von Safe Harbor vor dem Europäischen Gerichtshof wurde das Nachfolgeabkommen EU-US Privacy Shield ins Leben gerufen. Auch die Schweiz hat mit den USA eine Safe Harbor Vereinbarung, die jetzt aber kein vergleichbares Datenschutzniveau mehr garantiert.
SITUATION IN DER SCHWEIZ
Gemäß Art. 6 Abs. 1 DSG dürfen personenbezogene Daten aus der Schweiz nur dann ins Ausland übermittelt und verarbeitet werden, wenn im betroffenen Land ein angemessener Datenschutz gewährleistet ist. Wie der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Internetseite verlauten ließ:
„Wir haben daher dem Bundesrat mit Bericht vom 23. Oktober 2015 empfohlen, das U.S.-Swiss Safe Harbor Framework neu zu verhandeln, um die Anforderungen des Schweizer Datenschutzrechts zu erfüllen. Da nur ein gemeinsames Vorgehen mit der EU und ihren Mitgliedsstaaten zielführend ist, soll die Schweiz ihr Vorgehen mit den zuständigen Behörden der Europäischen Union koordinieren. Am 16. Dezember 2015 hat der Bundesrat denn auch das Staatssekretariat für Wirtschaft (SECO) mit der Federführung für die weiteren Arbeiten in Zusammenhang mit dem Abschluss eines neuen, die Persönlichkeitsrechte der Betroffenen besser schützenden, Abkommens beauftragt.“
SCHWEIZER DATENSCHILD
Analog zur europäischen Lösung strebt die Schweiz nun ein Swiss-US Privacy Shield an, welches dem EU-US Privacy Shield entsprechen soll: „Im Lichte eines möglichst gleichwertigen gesamteuropäischen Datenschutzniveaus erachtet der EDÖB eine analoge Regelung für die Schweiz als erstrebenswert und unterstützt die diesbezüglich laufenden Bemühungen des Bundesrates.“
WAS GILT BIS DAHIN?
Der EDÖB klärt wie bis dahin zu verfahren ist:
„Da der Datenaustausch mit Unternehmen in den USA bis zur Klärung der Lage nicht einfach unterbrochen werden kann, müssen sich betroffene Unternehmen für die Zwischenzeit zusätzlich absichern. Dabei stehen ergänzende vertragliche Garantien im Vordergrund. Auch wenn damit, wie bereits ausgeführt, das Problem unverhältnismässiger Behördenzugriffe nicht vollständig gelöst werden kann, sollte auf diesem Weg das Datenschutzniveau im Vergleich zu den Garantien des Safe-Harbor-Abkommen Schweiz-USA immerhin verbessert werden. Wir empfehlen deshalb, dass zusätzlich vertraglich folgendes geregelt wird:
- Wenn der Zugriff auf Personendaten durch US-Behörden schon nicht eingeschränkt oder verhindert werden kann, sollte dieser Mangel durch erhöhte Anforderungen an die Transparenz der Datenbearbeitung wenigstens ansatzweise kompensiert werden. Dementsprechend sollten die betroffenen Personen klar und möglichst umfassend darüber informiert werden, dass ihre Daten in die USA übermittelt werden und dass die dortigen Behörden darauf zugreifen können.
- Betroffene Personen sollten bei der Geltendmachung ihrer Rechte in den USA im zumutbaren Rahmen unterstützt werden. Zugangsgesuche von U.S.-Behörden sollen nicht unbesehen erfüllt werden. Vielmehr sollen die Unternehmen die ihnen offenstehenden Verfahren zur Verhinderung solcher Zugriffe tatsächlich durchführen und darauf ergehende Urteile akzeptieren.
Dabei gilt es zu beachten, dass die betroffenen Personen in der Schweiz stets die Möglichkeit haben, eine geplante Datenlieferung in die USA durch ein Zivilgericht beurteilen zu lassen. In diesen Fällen sollte mit der Datenlieferung bis zum Vorliegen eines rechtskräftigen Urteils zugewartet werden.“