Mit seinem «Schrems II»-Urteil C311-18 erklärte der Europäische Gerichtshof (EuGH) den Privacy Shield für ungültig. Die Bearbeitung von Daten in den USA kann deshalb nicht mehr auf diesem Weg zusätzlich abgesichert werden.
In einem ausführlichen Gastbeitrag bei Cyon erkläre ich, was das Urteil aus schweizerischer Sicht bedeutet und welche Alternativen es zum Privacy Shield gibt.
Einleitend befasse ich mich mit der Frage, mit welchen Staaten freier Datenverkehr möglich ist und für welche Staaten der Daten-Export abgesichert werden muss.
Danach beschreibe ich, welche Bedeutung der Privacy Shield in den Bezug auf die USA hatte und welche Alternativen es gibt. Im Vordergrund stehen sogenannte Standardvertragsklauseln.
Abschliessend präsentiere ich einen Vorschlag, wie der Daten-Export gemäss schweizerischem Datenschutzgesetz (DSG) und europäischer Datenschutz-Grundverordnung (DSGVO) in fünf Schritten abgesichert werden kann:
- Schritt 1: Werden Daten in ein Land ohne angemessenen Datenschutz exportiert?
- Schritt 2: Wie kann der Daten-Export abgesichert werden?
- Schritt 3: Beruft sich der Internet-Dienst immer noch auf das Privacy Shield?
- Schritt 4: Wie gross ist das Risiko für betroffene Personen?
- Schritt 5: Genügt die Absicherung oder muss eine Alternative gesucht werden?
Als Beispiel dient die Verwendung von Zoom für Video-Konferenzen. Die genau gleichen Schritte funktionieren auch mit anderen Online-Diensten in den USA und in weiteren Ländern, wo das jeweilige Recht keinen angemessenen Datenschutz gewährleistet.
Siehe auch:
- Privacy Shield ungültig: Was bedeutet das EuGH-Urteil für Unternehmen in der Schweiz?
- Wie gewährleiste ich den Datenschutz bei Google, Mailchimp, Zoom & Co.? (Webinar bei Datenschutzpartner mit Mailchimp als Beispiel)
- Privacy Shield CH-USA bietet kein adäquates Datenschutzniveau (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, EDÖB)