Am 16. Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH), dass der EU-U.S. Privacy Shield (der die Übermittlung von Personendaten in die USA erlaubt) ungültig ist. Obwohl die Schweiz mit den USA über ein eigenes Regelwerk für den Privacy Shield verfügt, kann das EuGH-Urteil Auswirkungen auf Schweizer Unternehmen haben. Es besteht jedoch im Allgemeinen kein Grund zur Besorgnis. Schweizer Unternehmen sollten dennoch gewisse Vorsichtsmassnahmen in Betracht ziehen.
Datenübermittlungen in die USA im Rahmen des Privacy Shield
Unternehmen in der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR) sind durch die EU Datenschutz-Grundverordnung (DSGVO) bei der Übermittlung von Personendaten natürlicher Personen (z.B. Daten von Kunden oder Mitarbeitenden) in Nicht-EU/EWR-Länder eingeschränkt, es sei denn, es bestehen besondere Schutzmassnahmen. Insbesondere war die Übermittlung von Personendaten in die USA bisher erlaubt, wenn das importierende US-Unternehmen nach dem so genannten EU-U.S. Privacy Shield-Regelwerk zertifiziert ist, das auf einer Entscheidung der Europäischen Kommission von Juli 2016 beruht.
Für Schweizer Unternehmen existiert ein nahezu identischer Mechanismus: Während das schweizerische Datenschutzgesetz (DSG) die Übermittlung von Personendaten in bestimmte ausländische Rechtsordnungen einschliesslich der USA generell beschränkt, sind seit April 2017 Datenübermittlungen an in den USA ansässige Unternehmen, die im Rahmen des Swiss-U.S. Privacy Shield-Regelwerks zertifiziert sind, zulässig. Gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) sind bis heute mehr als 3'300 US-Firmen nach dem Regelwerk lizenziert worden, darunter Unternehmen wie Facebook, Amazon und Google.
EuGH-Urteil in Bezug auf das EU-U.S. Privacy Shield-Regelwerk
Am 16. Juli 2020 entschied der EuGH, dass die Entscheidung der Europäischen Kommission bezüglich des EU-U.S. Privacy Shield-Regelwerks ungültig sei ("Schrems II"-Urteil). Das Urteil wurde im Zusammenhang mit einer Klage von Maximillian Schrems gegen Facebook Irland gefällt und basiert unter anderem auf dem Argument, dass das Regelwerk die Daten von EU-Personen nicht ausreichend vor dem Zugriff von US-Behörden schütze.
Es ist derzeit ungewiss, ob der EU-U.S. Privacy Shield als Folge des Schrems II-Urteils in naher Zukunft durch einen anderen Mechanismus ersetzt werden wird, da bereits das vorhergehende EU-U.S. Safe Harbour-Regelwerk im Jahr 2015 vom EuGH für ungültig erklärt worden war ("Schrems I"-Urteil).
Folglich werden Unternehmen mit Sitz in der EU bei laufenden und zukünftigen Datentransfers in die USA wahrscheinlich auf andere Schutzmassnahmen zurückgreifen müssen, wie z.B. die sogenannten EU-Standardverträge (deren Gültigkeit durch das Schrems II-Urteil allgemein bestätigt wurde).
Auswirkungen auf Schweizer Unternehmen
Die Schweiz ist vom Schrems II-Urteil nicht direkt betroffen, da sie nicht Vertragspartei des EU-U.S. Privacy Shield-Regelwerks ist und weil das EuGH-Urteil das Swiss-U.S. Privacy Shield-Regelwerk nicht ausser Kraft setzt. Bisher hat auch der EDÖB eine kurze Stellungnahme veröffentlicht, wonach das Schrems II-Urteil nicht direkt auf die Schweiz anwendbar sei. Die Kompetenz zur formellen Beendigung des Swiss-U.S. Privacy Shield-Regelwerks liegt beim Bundesrat.
Aufgrund der früheren Reaktion des EDÖB im Zusammenhang mit dem Schrems I-Urteil kann jedoch nicht ausgeschlossen werden, dass der EDÖB nun zur Auffassung gelangen könnte, dass – unter Berücksichtigung des Schrems II-Urteils – das Swiss-U.S. Privacy Shield-Regelwerk für Datentransfers aus der Schweiz in die USA kein angemessenes Schutzniveau biete. Ein solche Schlussfolgerung des EDÖB wäre rechtlich jedoch nicht bindend, da die Frage der Angemessenheit der Schutzniveaus ausländischer Rechtsordnungen letztlich von den schweizerischen Gerichten und nicht vom EDÖB entschieden wird.
Vor diesem Hintergrund sollten Schweizer Unternehmen, die Personendaten im Rahmen des Privacy Shield-Regelwerks in die USA übermittelt haben oder dies planen, Folgendes berücksichtigen: