«Privacy Shield»

Datenschutz: Der Europäische Gerichtshof (EuGH) kippt das EU-US «Privacy Shield» – was heisst das für KMU in der Schweiz?

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) entschieden, dass die Vereinbarungen im sogenannten «Privacy Shields» keinen angemessenen Datenschutz darstellen, um eine Übertragung von Personendaten in die USA zu rechtfertigen. Was bedeutet dieser europäische Entscheid nun für Unternehmerinnen und Unternehmer in der Schweiz?

Das Grundkonzept des «Privacy Shields»
Daten von CH und EU-Bürgern sind durch die jeweiligen Datenschutzgesetze vor Missbrauch geschützt. Sobald die Daten die Schweiz oder Europa jedoch verlassen, ist dieser Schutz je nach Übertragungsland nicht mehr gewährleistet. Sowohl die europäischen als auch die schweizerischen Gesetze setzen deshalb für die Übertragung der Daten in ein Drittland voraus, dass ein angemessener Schutz der Daten sichergestellt wird.

Nehmen wir als Beispiel für die Übertragung der Daten die USA: Der Datenschutz der USA gilt nach schweizerischer und europäischer Ansicht als nicht angemessen. Das hat zur Folge, dass grundsätzlich gar keine Personendaten in die USA übermittelt werden dürfen. Hier kommt nun der sogennante «Privacy Shield» ins Spiel – eine Absprache, die sowohl die Schweiz als auch die EU mit der amerikanischen Regierung getroffen hat. Der «Privacy Shield» erlaubt eine Selbstzertifizierung amerikanischer Unternehmen, in der sich diese Unternehmen verpflichten, einen angemessenen Schutz von Personendaten sicherzustellen. Im Gegenzug anerkennen die EU und die Schweiz, dass diese zertifizierten Unternehmen einen «angemessenen» Datenschutz gewährleisten.

Konsequenzen des Entscheids des EuGH vom 16. Juli 2020
Am 16. Juli 2020 hat der EuGH das EU-US Privacy Shield Abkommen jedoch gekippt. Damit werden Datentransfers aus EU-Ländern in die USA, deren Schutz ausschliesslich durch den «Privacy Shield» sichergestellt wurde, unzulässig.

Das Urteil ist für die Schweiz zwar nicht direkt anwendbar. Es ist allerdings damit zu rechnen, dass auch die Schweiz in Zukunft nicht mehr auf das Privacy Shield Abkommen abstellen wird.

Vor allem die grossen amerikanischen Anbieter werden eine einheitliche Datenschutzlösung für die europäischen Länder anstreben. Änderungen an der Datenschutzlösung würden damit auch alle schweizerischen Unternehmen treffen, die amerikanische Softwarelösungen für die Bearbeitung von Personendaten nutzen. Dazu gehören unter anderem Cloud-Dienstleistungen sowie Software zum Erfassen und Bearbeiten der Kunden- oder Mitarbeiterdaten.

Alternativen zum «Privacy Shield» sind derzeit nicht in Sicht. Grössere US-Unternehmen bieten oftmals den Abschluss von Standardvertragsklauseln an, um den Datenschutz bilateral sicherzustellen. Diese wurden vom EuGH nicht als ungültig erklärt. Allerdings äussert er sich dazu dahingehend, dass beim Einsatz von EU-Standardvertragsklauseln nun zusätzlich geprüft werden muss, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe zum Datenschutz bestehen. Dies dürfte für KMU’s keine praktikable Lösung darstellen.

Zukunft des CH-US Privacy Shield Abkommens?
Es bleibt abzuwarten, wie die schweizerischen Datenschutzbehörden das Urteil des EuGH auswerten und welche Empfehlungen sie abgeben werden. Da der CH-US Privacy Shield noch Bestand hat, haben Schweizer Unternehmen – sofern sie nicht der DSGVO unterliegen – etwas mehr Zeit, um Lösungen zu finden.

KMU’s sollten aber nicht untätig bleiben, sondern nach Möglichkeit keine Dienste nutzen, die Personendaten in die USA übermitteln. Dazu ist es nötig, dass die Unternehmen identifizieren und dokumentieren, wo sie welche Personendaten bearbeiten, welche Daten besonders schützenswert sind und welche ihrer Daten sie in Drittländer übermitteln. Damit schaffen sie die Grundlage, um schnell reagieren zu können, falls der CH-US Privacy Shield aufgehoben werden sollte oder sich eine neue Datenschutzlösung abzeichnet. Unser Datenschutz Check für KMU’s bietet dafür eine gute Grundlage (vgl. www.datenschutz-check-kmu.ch). Bei Bedarf stehen wir Ihnen gerne zur Seite.

Zum Erstkontakt

10 + 4 =