EU erlässt Angemessenheitsbeschluss für US-Datentransfer

Die Europäische Kommission hat am 10. Juli 2023 den Angemessenheitsbeschluss für die Datenübertragung von der EU in die USA erlassen und damit das EU-U.S. Data Privacy Framework gebilligt. Damit wird nach Art. 45 DSGVO festgestellt, dass die USA über ein angemessenes Datenschutzniveau verfügen. Mit dem Urteil Schrems II hatte der Europäische Gerichtshof 2020 das frühere Privacy Shield für ungültig erklärt. Die Datenübertragung in die USA musste daher u.a. entweder auf Standardvertragsklauseln (SCC) oder auf eine Einwilligung der Betroffenen gestützt werden, wobei die Einwilligung jederzeit widerruflich war. Das war insbesondere ein aufwendiges Verfahren für viele Unternehmen, Betriebe und öffentliche Einrichtungen, die z.B. im Office- oder Cloud-Bereich Datenübertragungen in die USA vornehmen.

Auswirkungen für die Schweiz

Die Entscheidung des Europäischen Gerichtshofes im sog. Schrems II-Urteil war für die Schweiz nicht unmittelbar anwendbar, da sich die Entscheidung lediglich auf den EU-Angemessenheitsbeschluss bezog. Dennoch hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) nach der EUGH-Entscheidung ebenfalls festgestellt, dass die USA kein vergleichsbares Datenschutzniveau im Sinne von Art. 6 Abs. 2 DSG bieten (Stellungnahme vom 8. September 2020). In der Länderliste des EDÖB waren die USA folgerichtig mit "ungenügender Schutz" gekennzeichnet. Daher mussten auch Schweizer Unternehmen auf Standardvertragsklauseln oder andere Garantien zurückgreifen, um rechtskonform einen angemessenes Datenschutzniveau zu gewährleisten.

Liegt bei dem Auslandstransfer ein angemessenes Datenschutzniveau vor, ist das Risiko von Bussen bei Auslandsübertragung nach Art. 61 lit. a DSG erheblich reduziert und eine wesentliche Strafbestimmung des DSG jedenfalls bei Datentransfer in die USA entschärft.

Wann kommt der Angemessenheitsbeschluss für die Schweiz?

Der Angemessenheitsbeschluss der Europäischen Kommission entfaltet für die Schweiz keine Wirkung, da die Schweiz kein Mitgliedsstaat der EU ist. Bis zum 1. September 2023 könnte der EDÖB die Staatenliste des angemessenen Datenschutzniveaus noch bearbeiten. Nach Art. 16 Abs. 1 des neuen Schweizer Datenschutzgesetzes (nDSG, Geltung ab 1. September 2023) ist der Bundesrat für die Feststellung des angemessenen Datenschutzniveaus zuständig. Dieser tagt nach der Sommerpause ab 16. August 2023 wöchentlich mittwochs, so dass frühestens der 6. September 2023 als Datum einer Beschlussfassung des Bundesrates in Betracht kommt, da das Gesetz erst ab dem 1. September 2023 gilt und mithin erst ab diesem Datum der Bundesrat für eine Beschlussfassung zuständig ist. Vor einer Beschlussfassung ist nach Art. 8 Abs. 3 der Datenschutzverordnung (DSV) der EDÖB zu konsultieren. Rechtspuristisch betrachtet müsste bei einer Beschlussfassung im September 2023 ab dem 1. September 2023 mittels Standardvertragsklauseln die Übermittlung vorgenommen werden und dürfte erst ab Feststellung des angemessenen Datenschutzniveaus durch den Bundesrat auf Art. 16 Abs. 1 nDSG gestützt werden.

Wird das angemessene Datenschutzniveau für die USA festgestellt, wovon auszugehen ist, wird der Anhang 1 der Datenschutzverordnung von Staaten mit einem angemessenen Datenschutzniveau ergänzt werden.

Ausblick

Unabhängig von der erfreulichen Vereinfachung des Datentransfers in die USA verbleibt bei Unternehmen und Behörden die Aufgabenstellung, die Umsetzung und Organisation gemäss Datenschutzgesetz vorzunehmen. Nach unserer Einschätzung ist zu erwarten, dass auch das jetzige EU-U.S. Data Privacy Framework vom EuGH überprüft wird. Bereits im März 2023 hat der Datenschutzaktivist Max Schrems, der bereits zweimal den Datentransfer in die USA mangels angemessenen Datenschutzniveaus zu Fall brachte, kritisiert, dass das neuerliche Abkommen kein gleichwertiges Datenschutzniveau in den USA gewährleistet. Begründet wird die Ablehnung damit, dass die Auslegung der Verhältnismässigkeit in der EU und den USA unterschiedlich sei. Zudem gibt es in den USA lediglich eine Executive Order und kein parlamentarisch beschlossenes Gesetz, so dass individuelle Schutzrechte fehlen würden. Wir schätzen ein, dass der Rechtsschutz gegen Zugriffe von amerikanischen Sicherheitsbehörden auf in den USA gespeicherten Daten weiterhin unzureichend ist und nicht den Anforderungen von Art. 47 der EU-Grundrechtecharta genügt.

Praktische Hinweise für Unternehmen

  1. Die Datenübertragung kann auch zukünftig auf Standardvertragsklauseln (ergänzend) gestützt werden. Damit ist jedes Unternehmen auf der sicheren Seite, sollte der EuGH das aktuelle EU-U.S. Data Privacy Framework für unwirksam erklären.

  2. Kleine Unternehmen und KMUs, die bisher nicht mit Standardvertragsklauseln gearbeitet haben, können sich darauf verlassen, dass die Feststellung des angemessenen Datenschutzniveaus für die USA erfolgen wird.

  3. Bei Verletzung von Auskunftspflichten, Datenbearbeitung durch Auftragsbearbeiter ohne Vertrag oder Verletzung der Datensicherheit bleibt das Risiko einer Busse bestehen.

  4. Wir empfehlen ein Datenschutzreglement für jedes Unternehmen, mit dem standardisierte Regelungen über die Datenbearbeitung, den Umgang mit Auskunftsersuchen sowie die Datensicherheit festgehalten werden.

  5. Verwaltungsräte und Geschäftsführung sind im Rahmen der sorgfältigen Geschäftsführung verpflichtet, die Einhaltung der gesetzlichen Vorgaben, auch des DSG, sicherzustellen.

  6. Bei der Verarbeitung personenbezogener Daten von EU-Bürgern ist weiterhin die DSGVO zu beachten.

Rechtsanwalt und Fachanwalt für IT-Recht (DE) Sven Kohlmeier berät Sie sowohl im Schweizer wie auch europäischem Datenschutzrecht und der Umsetzung des neuen DSG.

 

Erklärung und Hinweise zum EU-Angemessenheitsbeschluss

Den Text des Angemessenheitsbeschlusses der EU finden Sie hier zum Download

 
Datenschutz, Digitalisierung, IT-/IP-RechtSven KohlmeierWicki Partners AGDatenschutz, Revision Datenschutzgesetz