Anfang Jahr wurde bekannt, dass nach der Europäischen Union (EU) auch die Schweiz einen eigenen Privacy Shield mit den USA erhält. Bei amerikanischen Unternehmen, die sich dem Swiss-U.S. Privacy Shield unterwerfen, geht das schweizerische Datenschutzrecht ausnahmsweise von einem angemessenen Datenschutz in den USA aus. Der Privacy Shield ersetzt die bisherige Safe Harbor-Regelung.
Amerikanische Unternehmen können sich seit dem 12. April 2017 für den Swiss-U.S. Privacy Shield zertifizieren lassen. Gemäss der Privacy Shield List haben sich bislang 40 Unternehmen zertifizieren lassen – unter anderem auch Snapchat. Im Vergleich zu fast 2’000 Unternehmen mit EU-Zertifizierung ist diese Zahl aber noch gering.
Leider betrachtet die Schweiz eine EU-Zertifizierung nicht als gleichwertig. Da die Schweiz den Datenschutz in der EU als angemessen beurteilt, könnte in der Sache eine EU-Zertifizierung genügen. Inhaltlich sehen der EU-europäische und schweizerische Privacy Shield weitgehend identische Prinzipien vor:
«The Principles under the two frameworks align, with a few exceptions, including:
- The Swiss Federal Data Protection and Information Commissioner’s authority substitutes for that of the EU DPAs’ authority throughout the Swiss-U.S. Privacy Shield compared to the EU-U.S. Privacy Shield. For instance, under the Swiss-U.S. Privacy Shield, an organization may satisfy points (a)(i) and (a)(iii) of the Recourse, Enforcement and Liability Principle by committing to cooperate with the Swiss Federal Data Protection and Information Commissioner. When covering HR data received from Switzerland for use in the context of the employment relationship, organizations must commit to cooperate with and comply with the advice of the Commissioner. Under the EU-U.S. Privacy Shield, the comparable commitment is to cooperate with the EU DPAs.
- The definition of sensitive data under the Choice Principle is modified slightly under the Swiss-U.S. Privacy Shield, including ideological views or activities, information on social security measures or administrative or criminal proceedings and sanctions, which are treated outside pending proceedings.
- At the first annual review, the Department of Commerce will work with the Swiss Government to put in place the binding arbitration option in Annex I of the Swiss-U.S. Privacy Shield Framework.»
Die Teilnahme am Privacy Shield kostet für amerikanische Unternehmen ab 250 Dollar (nur für die Schweiz) beziehungsweise ab 375 Dollar (für die EU und die Schweiz) pro Jahr. Dazu kommen weitere Kosten sowohl für die Zertifizierung als auch für die Umsetzung der Privacy Shield-Prinzipien:
«Organizations will have additional direct costs associated with participating in the Privacy Shield. For example, Privacy Shield organizations must provide a readily available independent recourse mechanism to hear individual complaints at no cost to the individual. Providers of such services set their own fees. Furthermore, the Frameworks require that the Department of Commerce facilitate the establishment of a fund, into which Privacy Shield organizations will be required to pay an annual contribution, which will cover arbitral costs as described in Annex I to the Principles.»
In der Privacy Shield List kann man nachschlagen, ob sich ein amerikanisches Unternehmen bereits für die Schweiz zertifizieren lassen hat.
Bild: U.S. Department of Commerce.