Mit seinem Urteil C-311/18 demontierte der Europäische Gerichtshof (EuGH) kürzlich die wichtigsten Rechtsgrundlagen für die Übermittlung von europäischen Personendaten in die USA. Das Urteil gilt zwar nicht für die Schweiz, hat aber dennoch erhebliche Auswirkungen auf schweizerische Unternehmen.
Nachfolgend sammle ich einige aktuelle juristische Stimmen aus der Schweiz zum Urteil.
Mein eigenes Fazit:
«[…] Das Urteil ist ein Pyrrhussieg für den Datenschutz in Europa. […] Der Datenschutz der Menschen in Europa verbessert sich durch das Urteil nicht. […] Das Urteil stärkt in erster Linie grosse amerikanische Dienste, die sich eine Tochtergesellschaft – meist im vergleichsweise regulierungsfreundlichen und steuergünstigen Irland – sowie Datacenter in Europa leisten können. Europa wird noch stärker in die Abhängigkeit von einigen wenigen grossen Diensten aus den USA geraten.»
Eidgenössischer Datenschutzbeauftragter: «Urteil im Detail prüfen»
Der EDÖB äussert sich kurz und knapp:
«Der EDÖB hat das EuGH-Urteil zur Kenntnis genommen. Dieses Urteil ist für die Schweiz nicht direkt anwendbar. Der EDÖB wird das Urteil im Detail prüfen und sich zu gegebener Zeit äussern.»
Rechtsanwalt Christian Laux: «Man hätte den Fall auch anders lösen können»
Anwaltskollege Christian Laux (LAUX LAWYERS) schreibt unter anderem:
«Der EuGH sagte in seinem gestrigen Urteil nichts dazu, ob die amerikanischen Strafverfolgungsbehörden und Nachrichtendienste in Bezug auf das Sammeln und Auswerten von Personendaten nun schlechter vorgehen als die europäischen Behörden. […] Man hätte den Fall auch anders lösen können und den Blick darauf richten können, wie Personendaten tatsächlich geschützt werden (materielle Prüfung). Das hat der EuGH nicht getan. […]»
Und:
«Man darf weiterhin auf Basis von Standardvertragsklauseln Daten in andere Länder übermitteln. Das Unternehmen, das Daten übermittelt (Datenexporteur), muss aber einen Mindestschutz bei den Empfängern im Ausland garantieren. Ob dieser Ansatz gelingt, wird sich zeigen: Privatrechtliche Verträge können Mängel in der Rechtsordnung des Ziellands ja wohl nicht heilen. Diesbezüglich verkennt der EuGH die Tragweite seines Urteils wohl selber, wenn er in der Pressemitteilung sagt, das System der Standardvertragsklauseln bleibe bestehen. […]»
Und weiter:
«Nach EU-Recht können Datenschutzbehörden eingreifen, wenn sich herausstellt, dass die Zusicherungen des Datenexporteurs […] nicht greifen oder falsch sind. […] Die Behörden werden namentlich nachweisen müssen, wie die Geheimdienste in den USA tatsächlich Daten verwenden. Im Rahmen dieser Prüfverfahren wird eine materielle Prüfung zum Tragen kommen müssen. Es geht um die Freiheit des Datenexporteurs, Angebote z.B. mit US-Bezug zu nutzen. Diese Freiheit ist verfassungsrechtlich geschützt (Wirtschaftsfreiheit). Ein Eingriff in die Wirtschaftsfreiheit aus rein formellen Gründen lässt sich vor der EU-Grundrechtscharta nicht rechtfertigen – immerhin geht es um Freiheitsrechte!»
Rechtsanwalt David Vasella: «Fragt sich allerdings, welchen Risiken vertraglich überhaupt begegnet werden kann»
Anwaltskollege David Vasella (Waldder Wyss) schreibt unter anderem:
«Was den CH/US Privacy Shield betrifft, so […] wird er wohl bald aufgehoben […]. Allerdings muss […] der EDÖB zuerst prüfen, ob der Standard der Angemessenheit derselbe ist wie jener nach der DSGVO. […] Es ist also rechtlich betrachtet nicht unbedingt zwingend, dass der EDÖB zum selben Ergebnis kommt – auch wenn es in praktischer Hinsicht natürlich sehr wahrscheinlich ist.»
Und:
«[…] Die Standardvertragsklauseln sind zwar weiterhin gültig. […] Damit fragt sich allerdings, welchen Risiken vertraglich überhaupt begegnet werden kann […]. Kann der erforderliche Schutz auch mit zusätzlichen Klauseln nicht gewährleistet werden, muss der Exporteur die Datenübermittlung konsequenterweise aussetzen oder beenden […].»
Und weiter:
«Bei Datenübermittlungen insbesondere in die USA fragt sich, wie die Risiken der Behördenzugriffe, die der EuGH moniert, gemindert werden kann. Allerdings sind die USA bei weitem nicht das einzige Land, dessen Behörden weitgehende Überwachungs- und Zugriffsbefugnisse haben. […]»
David Rosenthal: «Privacy Shield ist nicht das Hauptproblem»
David Rosenthal (VISCHER) schreibt unter anderem:
«Streicht der EDÖB Privacy Shield jetzt von seiner Liste, dann wohl primär, um die EU wegen der für die Schweiz anstehenden Erneuerung ihres Angemessenheitsbeschlusses freundlich zu stimmen. Darum ist damit sogar zu rechnen. […] So oder so ist aufgrund der faktischen Wirkung des EuGH-Entscheids aber damit zu rechnen, dass auch in der Schweiz in Zukunft nicht mehr auf Privacy Shield abgestellt wird. Es macht in der Praxis meist keinen Sinn, für Exporte von Personendaten unter dem DSG eine andere Lösung als jene einzusetzen, die auch unter der DSGVO genügt. Auch Anbieter in den USA werden eine Lösung für ganz Europa haben wollen. […]»
Und:
«Es kann gut sein, dass der EDÖB sich aus den erwähnten rechtspolitischen Gründen nun auf den Standpunkt stellt, dass in gewissen Fällen die Standardvertragsklauseln nicht mehr genügen, nachdem sie dies bisher immer getan haben. Einen wirklich neuen Sachverhalt gibt es freilich auch hier nicht. […] Das würde sich erst ändern, wenn der EDÖB den Standardvertragsklauseln seine Anerkennung entzieht […]. Eine andere Option für den EDÖB wäre, zwar an der Anerkennung der EU-Standardvertragsklauseln festzuhalten, aber […] zusätzliche Schutzmassnahmen zu fordern. Ähnliches tat der EDÖB seinerzeit, als der EuGH Safe Harbor für ungültig erklärte. […]»
Und weiter:
«Für Unternehmen in der Schweiz bedeutet dies, dass sie […] diejenigen Exporte von Personendaten aus der Schweiz (oder sonst Europa) identifizieren und dokumentieren müssen, die sie in unsicheren Drittstaaten unternehmen und feststellen sollten, ob diese nur auf Privacy Shield basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Soweit die betreffende Bearbeitung von Personendaten der DSGVO unterliegt, müssen sie damit sofort beginnen. Unter dem DSG haben sie mehr Zeit. […]»
Rechtsanwalt Luca Dal Molin: «Undenkbar, von einem Tag auf den anderen alle diese Datenexporte zu stoppen»
Anwaltskollege Luca Dal Molin (Homburger) schreibt – gemeinsam mit zwei Anwaltskollegen – unter anderem:
«Das Urteil des EuGH weckt Zweifel, ob die Standardvertragsklauseln inskünftig als Basis für Datenübermittlungen in die USA eingesetzt werden können. Der EuGH entscheidet diese Frage nicht. Er bringt aber zum Ausdruck, dass er in den Überwachungsmassnahmen der USA einen Widerspruch zur europäischen Datenschutzordnung erkennt, da die amerikanischen Überwachungsprogramme nicht auf das zwingend Erforderliche beschränkt seien.»
Und:
«Aufgrund der Bedeutung der Standardvertragsklauseln für den Datentransfer in Drittstaaten sind aber vor allem auch die Aufsichtsbehörden gefordert: Diese müssen nun rasch Klarheit schaffen, ob, in welchen Fällen und allenfalls mit welchen Zusatzmassnahmen die Standardvertragsklauseln mittelfristig noch für Datenübermittlungen in die USA und andere Länder mit vergleichbaren Überwachungsprogrammen genutzt werden können. Ein koordiniertes Vorgehen auf europäischer Ebene ist hier dringend angezeigt.»
Und weiter:
«Unternehmen, die ihre Datenexporte aus der Schweiz in die USA auf die Standardvertragsklauseln stützen, raten wir kurzfristig zu einem vorsichtigen Abwarten. Es ist undenkbar, von einem Tag auf den anderen alle diese Datenexporte zu stoppen. Dazu besteht unseres Erachtens weder aus Schweizer Perspektive noch unter der DSGVO eine unmittelbare Notwendigkeit. Es ist davon auszugehen, dass die europäischen Aufsichtsbehörden und der EDÖB in Kürze Position beziehen werden. Folglich sind die Entwicklungen zu beobachten und bei einer Praxisänderung wird eine Reaktion notwendig sein. […]»
Rechtsanwältin Claudia Keller: «Rechtliche Risikoanalyse im Einzelfall»
Anwaltskollegin Claudia Keller (Wenger Vieli) schreibt – gemeinsam mit drei Anwaltskollegen – unter anderem:
«Das Urteil hat verständlicherweise bei dem für das Privacy Shield Abkommen [sic!] zuständigen US Department of Justice für Unmut gesorgt. Die EU-Kommission ihrerseits hat angekündigt, mit den USA in Verhandlungen über ein Nachfolgerprogramm zu treten. Bis ein solches – wenn überhaupt – steht, bleibt ein datenschutzkonformer Datentransfer in die USA im Einzelfall ein rechtliches Risiko. Zudem bestätigt das Urteil die datenschutzrechtliche Tendenz, generell auf eine rechtliche Risikoanalyse im Einzelfall abzustellen – Unternehmen können sich nicht auf einfache standardisierte Lösungen verlassen, ohne sich mit den effektiven oder potentiellen Risiken auseinanderzusetzen.»
Rechtsanwalt Michael Kunz: «Drastische Auswirkungen auf viele Unternehmen»
Anwaltskollege Michael Kunz (MME) schreibt unter anderem:
«Der Entscheid des EuGH dürfte drastische Auswirkungen auf viele Unternehmen innerhalb des EWR und in der Schweiz haben, die auf den EU-US Privacy Shield vertraut haben, da die Datenübertragung personenbezogener Daten in die USA nun in vielen Fällen unzulässig ist. […]»
Privacy Shield-Urteil: EDÖB und andere Stimmen aus der [deutschsprachigen] Schweiz
;)
Mit freundlichen Grüssen aus der Romandie!
@Sylvain Métille:
Merci beaucoup pour la suggestion ! J’ajouterai volontiers d’autres voix. Malheureusement, je n’ai pas trouvé une seule voix de Suisse romande hier. (J’ai fait une recherche avec Google.)