EuGH-Urteil zum Privacy Shield – Auswirkungen auf Schweizer Unternehmen

17.07.2020

Am 16. Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH), dass der EU-U.S. Privacy Shield (der die Übermittlung von Personendaten in die USA erlaubt) ungültig ist. Obwohl die Schweiz mit den USA über ein eigenes Regelwerk für den Privacy Shield verfügt, kann das EuGH-Urteil Auswirkungen auf Schweizer Unternehmen haben. Es besteht jedoch im Allgemeinen kein Grund zur Besorgnis. Schweizer Unternehmen sollten dennoch gewisse Vorsichtsmassnahmen in Betracht ziehen.
 

Datenübermittlungen in die USA im Rahmen des Privacy Shield

Unternehmen in der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR) sind durch die EU Datenschutz-Grundverordnung (DSGVO) bei der Übermittlung von Personendaten natürlicher Personen (z.B. Daten von Kunden oder Mitarbeitenden) in Nicht-EU/EWR-Länder eingeschränkt, es sei denn, es bestehen besondere Schutzmassnahmen. Insbesondere war die Übermittlung von Personendaten in die USA bisher erlaubt, wenn das importierende US-Unternehmen nach dem so genannten EU-U.S. Privacy Shield-Regelwerk zertifiziert ist, das auf einer Entscheidung der Europäischen Kommission von Juli 2016 beruht.

Für Schweizer Unternehmen existiert ein nahezu identischer Mechanismus: Während das schweizerische Datenschutzgesetz (DSG) die Übermittlung von Personendaten in bestimmte ausländische Rechtsordnungen einschliesslich der USA generell beschränkt, sind seit April 2017 Datenübermittlungen an in den USA ansässige Unternehmen, die im Rahmen des Swiss-U.S. Privacy Shield-Regelwerks zertifiziert sind, zulässig. Gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sind bis heute mehr als 3'300 US-Firmen nach dem Regelwerk lizenziert worden, darunter Unternehmen wie Facebook, Amazon und Google.

 

EuGH-Urteil in Bezug auf das EU-U.S. Privacy Shield-Regelwerk

Am 16. Juli 2020 entschied der EuGH, dass die Entscheidung der Europäischen Kommission bezüglich des EU-U.S. Privacy Shield-Regelwerks ungültig sei ("Schrems II"-Urteil). Das Urteil wurde im Zusammenhang mit einer Klage von Maximillian Schrems gegen Facebook Irland gefällt und basiert unter anderem auf dem Argument, dass das Regelwerk die Daten von EU-Personen nicht ausreichend vor dem Zugriff von US-Behörden schütze.

Es ist derzeit ungewiss, ob der EU-U.S. Privacy Shield als Folge des Schrems II-Urteils in naher Zukunft durch einen anderen Mechanismus ersetzt werden wird, da bereits das vorhergehende EU-U.S. Safe Harbour-Regelwerk im Jahr 2015 vom EuGH für ungültig erklärt worden war ("Schrems I"-Urteil).

Folglich werden Unternehmen mit Sitz in der EU bei laufenden und zukünftigen Datentransfers in die USA wahrscheinlich auf andere Schutzmassnahmen zurückgreifen müssen, wie z.B. die sogenannten EU-Standardverträge (deren Gültigkeit durch das Schrems II-Urteil allgemein bestätigt wurde).

 

Auswirkungen auf Schweizer Unternehmen

Die Schweiz ist vom Schrems II-Urteil nicht direkt betroffen, da sie nicht Vertragspartei des EU-U.S. Privacy Shield-Regelwerks ist und weil das EuGH-Urteil das Swiss-U.S. Privacy Shield-Regelwerk nicht ausser Kraft setzt. Bisher hat auch der EDÖB eine kurze Stellungnahme veröffentlicht, wonach das Schrems II-Urteil nicht direkt auf die Schweiz anwendbar sei. Die Kompetenz zur formellen Beendigung des Swiss-U.S. Privacy Shield-Regelwerks liegt beim Bundesrat.

Aufgrund der früheren Reaktion des EDÖB im Zusammenhang mit dem Schrems I-Urteil kann jedoch nicht ausgeschlossen werden, dass der EDÖB nun zur Auffassung gelangen könnte, dass – unter Berücksichtigung des Schrems II-Urteils – das Swiss-U.S. Privacy Shield-Regelwerk für Datentransfers aus der Schweiz in die USA kein angemessenes Schutzniveau biete. Ein solche Schlussfolgerung des EDÖB wäre rechtlich jedoch nicht bindend, da die Frage der Angemessenheit der Schutzniveaus ausländischer Rechtsordnungen letztlich von den schweizerischen Gerichten und nicht vom EDÖB entschieden wird.

Vor diesem Hintergrund sollten Schweizer Unternehmen, die Personendaten im Rahmen des Privacy Shield-Regelwerks in die USA übermittelt haben oder dies planen, Folgendes berücksichtigen:

  • Soweit sich Schweizer Unternehmen bei der Übermittlung von Personendaten an Unternehmen in den USA bisher auf das Swiss-U.S. Privacy Shield-Regelwerk gestützt haben, besteht bei laufenden Übertragungen keine unmittelbare Notwendigkeit, auf Alternativen umzusteigen.
  • Im Hinblick auf einen allfälligen künftigen negativen Entscheid des Bundesrates ist es jedoch bei künftig anstehenden Datenübermittlungen ratsam, alternative Schutzmassnahmen in Betracht zu ziehen (z.B. vom EDÖB anerkannte Standardvertragsklauseln oder Einholung der Zustimmung der Betroffenen).
  • Die Entwicklungen im Hinblick auf eine solche künftige Entscheidung des Bundesrates sollten genau beobachtet werden.
  • Schweizer Unternehmen, die in den territorialen Geltungsbereich der DSGVO fallen – z.B. weil sie Waren oder Dienstleistungen an betroffene Personen in der EU anbieten oder Personendaten im Auftrag von in der EU ansässigen Verantwortlichen verarbeiten – sollten sich um alternative Mechanismen bemühen (z.B. EU-Standardverträge, die an die schweizerischen Anforderungen angepasst sind), falls Personendaten von in der EU ansässigen Personen an Unternehmen in den USA auf der Grundlage des inzwischen für ungültig erklärten EU-U.S. Privacy Shield-Regelwerks übermittelt werden.

 

Subscribe to our Updates

*Required fields

Monthly selected key topics from our practice areas and sectors, plus Newsflashes on current events.
Monthly email with the latest updates on and summaries of the Swiss Federal Supreme Court's case law in arbitration matters.
A regular look (1 – 2 per year) from a unique M&A perspective on legal changes, economic developments and societal trends in Switzerland.
Regular insights on Swiss and international trends and legal developments in the construction industry.
Concise analyses of key trends in the fast moving world of corporate governance for the boards of Swiss companies.