Nach der Europäischen Union (EU) erhält nun auch die Schweiz einen so genannten Privacy Shield von den Vereinigten Staaten von Amerika (USA), wie der Schweizerische Bundesrat schreibt.
Der neue Privacy Shield schafft vorläufig wieder Rechtssicherheit für schweizerische Unternehmen, die Personendaten in die USA übermitteln. Amerikanische Unternehmen können sich ab dem 12. April 2017 für den neuen Privacy Shield registrieren lassen.
In den USA ist aus Sicht der EU und der Schweiz grundsätzlich kein angemessener Datenschutz gewährleistet. Als Ausnahme anerkennt die Schweiz einen angemessenen Datenschutz im Sinn von Art. 6 Abs. 1 DSG aber bei jenen amerikanischen Unternehmen, die sich gemäss dem neuen amerikanisch-schweizerischen Privacy Shield zertifizieren lassen und sich dessen Prinzipien unterwerfen.
Angemessener Datenschutz mit Privacy Shield statt Safe Harbor Framework
Der neue «Swiss-US Privacy Shield» ersetzt das Safe Harbor-Abkommen (Safe Harbor Framework) zwischen der Schweiz und den USA. Der Europäische Gerichtshof (EuGH) hatte diesen «sicheren Hafen» im Verhältnis zwischen der EU und den USA im Oktober 2015 für ungültig erklärt. In der Folge vertrat der Eidgenössische Datenschutz- und Öffentlichtskeitsbeauftragte (EDÖB) die Auffassung, auch das inhaltlich weitgehend identische amerikanisch-schweizerische Safe Harbor-Abkommen genüge nicht mehr.
Für die EU besteht der neue Privacy Shield bereits seit Sommer 2016. Der Bundesrat betont entsprechend, dass die Schweiz nun (wieder) über gleich lange Spiesse wie die EU verfügt. Auch sieht der Bundesrat vielfältige Verbesserungen im Vergleich zum Safe Harbor-Abkommen:
«[…] Zu nennen sind insbesondere eine Verstärkung der Anwendung der Datenschutzprinzipien durch die teilnehmenden Unternehmen einerseits und der Verwaltung und Überwachung des Rahmens durch die US-Behörden andererseits. Die Zusammenarbeit zwischen dem US-Department of Commerce und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten soll intensiviert werden. Zudem wird ein Schlichtungsorgan eingeführt, das Streitigkeiten behandeln soll, die über die anderen verfügbaren Beschwerdewege nicht gelöst werden. Schliesslich können nun auch in der Schweiz ansässige Personen Anfragen bezüglich der Bearbeitung ihrer Daten durch US-Nachrichtendienste an eine Ombudsperson im amerikanischen Aussenministerium richten.»
Der EDÖB begrüsst den neuen Privacy Shield:
« Die Einrichtung dieses neuen Rahmens ist aus Sicht des EDÖB sinnvoll. Er bejaht, gestützt auf den Wortlaut des Swiss-US Privacy Shields, die Angemessenheit des Datenschutzniveaus und wird seine Staatenliste (gemäss Art. 7 VDSG) zu Gunsten der in diesem Rahmen zertifizierten Unternehmen anpassen, sobald die USA alle Dokumente des Swiss-US Privacy Shield an die Schweiz übermittelt haben. Besonderen Wert wird er jedoch auf die tatsächliche Praxis und die Rechtsentwicklung legen. Der EDÖB behält sich daher vor, im Anschluss an die jährlich durchzuführenden Evaluationen von Privacy Shield zur Anpassung der Liste zu schreiten, wenn er dies aufgrund seiner Erkenntnisse über den tatsächlichen Vollzug als angezeigt beurteilen sollte. Bei seiner Begutachtung berücksichtigt er auch die Rechtsprechung der schweizerischen Gerichte und allenfalls auch der Justiz in der EU.»
Rechtssicherheit für Schweizer Unternehmen
Der amerikanisch-schweizerische Privacy Shield entspricht inhaltlich jenem der EU, ist aber nicht identisch. Aus diesem Grund müssen sich amerikanische Unternehmen im Hinblick auf die Schweiz nochmals zertifizieren lassen, was einen Nachteil darstellt. Inhaltlich würde eine EU-Zertifizierung genügen, da die Schweiz den EU-Datenschutz als angemessen anerkennt, aber auf Seiten der amerikanischen Unternehmen würde es an einer Selbstverpflichtung gegenüber Daten von Personen in der Schweiz fehlen.
Dennoch ist es erfreulich, dass es der Schweiz gelungen ist, in wenigen Monaten einen eigenen Privacy Shield mit den USA zu verhandeln. Beim Safe Harbor-Framework hatte die Schweiz dafür über acht Jahre benötigt!
Viele Schweizer Unternehmen sind darauf angewiesen, Personendaten in die USA übermitteln zu dürfen. So erhalten nun beispielsweise Unternehmen in der Schweiz, die etablierte Cloud-Angebote in den USA nutzen, vorläufig wieder Rechtssicherheit.
Kritiker bemängeln im Zusammenhang mit dem neuen Privacy Shield insbesondere die anlasslose und verdachtsabhängige Massenüberwachung in den USA. Digital Rights Ireland, eine Organisation für digitale Bürgerrechte, versucht deshalb, den neuen Privacy Shield für ungültig erklären zu lassen. In der Folge wird der EuGH früher oder später voraussichtlich über den Privacy Shield zwischen der EU und den USA urteilen müssen, was wiederum Auswirkungen auf die Schweiz hätte – wie schon beim EuGH-Urteil gegen das Safe Harbor Framework. Allerdings sitzen die EU und die Schweiz längst im Glashaus, was die Massenüberwachung betrifft, denn der staatliche Hunger nach möglichst vielen Daten aller Menschen wird immer grösser.
Auf der Privacy Shield-Website ist die Liste der amerikanischen Unternehmen, die sich im Hinblick auf die EU bereits zertifizieren lassen haben, abrufbar. Auf der Liste stehen momentan 1’420 Unternehmen, darunter auch Google, Microsoft und Salesforce.
Nachtrag: Inzwischen hat der EDÖB die Dokumente zum neuen «Swiss-US Privacy Shield» veröffentlicht.