Personendaten aus der Schweiz dürfen nur ins Ausland bekannt gegeben und dort bearbeitet werden, wenn im betreffenden anderen Land insbesondere ein angemessener Datenschutz gewährleistet ist (Art. 6 Abs. 1 DSG).
Für die Bekanntgabe von Personendaten in die Vereinigten Staaten von Amerika (USA) galt der Datenschutz als angemessen beziehungsweise gleichwertig, wenn sich die betreffenden amerikanischen Unternehmen dem Safe Harbor-Abkommen (Safe Harbor Framework) zwischen der Schweiz und den USA von 2008 unterworfen hatten. Als jedoch der Europäische Gerichtshof (EuGH) mit Urteil vom 6. Oktober 2015 die Safe Harbor-Regelung zwischen der Europäischen Union (EU) und den USA für ungültig erklärte, vertrat auch der zuständige Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Auffassung, das Safe Harbor-Abkommen sei «zur Absicherung des gleichwertigen Datenschutzniveaus in den USA […] ungenügend.»
Die EU verhandelte nach dem EuGH-Urteil mit den USA über einen Nachfolger für die Safe Harbor-Regelung, der so genannte Privacy Shield. Am 12. Juli 2016 beschloss die zuständige Europäische Kommission, dass der neue «Datenschutzschild» einen angemessenen Datenschutz für europäische Personendaten in den USA gewährleistet, sofern sich die betreffenden amerikanischen Unternehmen an die Privacy Shield-Vorgaben halten:
«[Der] neue Rahmen gewährleistet den Schutz der Grundrechte aller Personen in der EU, deren personenbezogene Daten in die USA übermittelt werden, und schafft Rechtsklarheit für Unternehmen, die auf transatlantische Datenübermittlungen angewiesen sind.»
Die Angemessenheit durch den Privacy Shield gilt seit dem 12. Juli 2016, ab dem 1. August 2016 können Unternehmen den Privacy Shield nutzen:
«Der ‹Angemessenheitsbeschluss› wird […] unverzüglich in Kraft treten. Aufseiten der USA wird der Rahmen für den Datenschutzschild im US-Bundesregister […] veröffentlicht. Das US-Handelsministerium wird mit der Anwendung des Datenschutzschilds beginnen. Wenn die Unternehmen Gelegenheit hatten, den Rahmen zu überprüfen und im Hinblick auf die Einhaltung der Regeln Anpassungen vorzunehmen, können sie sich ab dem 1. August vom Handelsministerium eine entsprechende Bescheinigung ausstellen lassen. […]»
Kein Privacy Shield für Schweizer Unternehmen
Schweizer Unternehmen hingegen können sich nicht direkt auf den neuen Privacy Shield berufen und sind damit gegenüber Unternehmen in der EU benachteiligt. Der EDÖB liess sich – soweit ersichtlich – noch nicht zum neuen Privacy Shield verlauten.
In seinem Tätigkeitsbericht 2015/2016 äusserte sich der EDÖB vor einigen Wochen wie folgt:
«[…] Am 16. Dezember 2015 beauftragte der Bundesrat das Staatssekretariat für Wirtschaft (SECO) mit der Federführung für die Aushandlung eines neuen, die Persönlichkeitsrechte der Betroffenen besser schützendes Abkommens mit den USA. In der Zwischenzeit hat die EU ein neues Abkommen ausgehandelt (‹Privacy Shield›). Die Schweiz muss ein ebenbürtiges Übereinkommen für Datenübermittlungen in die USA anstreben, damit sie auch in Zukunft über ein mit der EU vergleichbares Datenschutzniveau verfügt.»
Das Safe Harbor-Abkommen wurde durch den Schweizerischen Bundesrat – entgegen einer entsprechenden EDÖB-Empfehlung – bislang weder sistiert noch gekündigt. Ob bereits ein verbessertes Abkommen mit den USA verhandelt wird, ist unklar.
Im Zweifelsfall ist davon auszugehen, dass das SECO mit Verweis den Privacy Shield versuchen wird, eine vergleichbare Einigung mit den USA zu erzielen. Schon beim Safe Harbor-Abkommen war die Schweiz der Safe Harbor-Regelung der EU gefolgt, damals allerdings erst acht (!) Jahre später … eine pragmatische Alternative wäre, dass der EDÖB – einseitig und zumindest vorläufig – die Angemessenheit der Datenbearbeitung in den USA gemäss Privacy Shield erklärt.
Ausblick für Schweizer Unternehmen
Viele Schweizer Unternehmen sind darauf angewiesen, Personendaten in die USA bekanntgeben zu können, beispielsweise für die Nutzung von funktional und preislich meist überlegenen Cloud-Angeboten zur Erhaltung der eigenen Wettbewerbsfähigkeit. Der europäischen Konkurrenz bleibt als Verkaufsargument häufig nur noch der eigene Standort, der für Daten aber nur aufgrund von staatlicher Regulierung überhaupt von Bedeutung ist.
Ob eine Datenbekanntgabe in die USA heute überhaupt noch rechtmässig möglich ist – zum Beispiel durch vertragliche Garantien – ist unklar und wird vom EDÖB faktisch verneint. Es ist deshalb wünschenswert, dass sich die Schweiz und die USA so bald wie möglich auf einen eigenen Nachfolger für die Safe Harbor-Regelung nach Privacy Shield-Vorbild einigen und dadurch wieder Rechtssicherheit herstellen.
Der neue Privacy Shield wird zwar breit kritisiert, vor allem wegen der anlasslosen und verdachtsunabhängigen Massenüberwachung in den USA. Die Kritik an dieser Massenüberwachung ist ohne Zweifel berechtigt, aber als Argument scheinheilig, denn solche Massenüberwachung findet leider auch in der EU und in der Schweiz statt:
So hält das revidierte Überwachungsgesetz BÜPF an der Vorratsdatenspeicherung fest und mit dem neuen Nachrichtendienstgesetz (NDG) soll die so genannte Kabelaufklärung legalisiert werden … dabei kooperieren auch schweizerische Sicherheitsbehörden intensiv mit den USA und versuchen bisweilen nicht einmal mehr, den Schein von Rechtsstaatlichkeit zu wahren.
Wer wie die EU und die Schweiz den Datenschutz der eigenen Bürgerinnen und Bürger aushöhlt, kann nicht glaubwürdig für mehr Datenschutz in den USA eintreten. Es ist bedauerlich, dass europäische Unternehmen im digitalen Raum häufig nicht konkurrenzfähig sind. Dieser Tatsache sollte mit besseren Standortbedingungen für mehr Innovation begegnet werden, beispielsweise durch eine angemessene Besteuerung von Startups und weniger staatliche Regulierung, nicht mit Datennationalismus und Heimatschutz zum Nachteil einer Mehrheit sowohl der Bürgerinnen und Bürger als auch der Unternehmen in Europa.