Safe Harbor

Datenschutz – das "Safe Harbor" Urteil des EuGH aus Schweizer Sicht
12. Oktober 2015
1|6
"EU Safe Harbor" ungültig – was gilt in der Schweiz?
Wie US-Exporte von Personendaten zulässig bleiben
Viele Unternehmen, nicht nur im EU-Raum, sondern auch in der Schweiz vertrauen beim Datentransfer von Personendaten in die USA heute auf
das Datenschutzabkommen "Safe Harbor". Die
Ungültigkeitserklärung des Abkommens durch den
EuGH führt nun zu vielen offenen Fragen: Welche
Auswirkungen hat das Urteil auf die Schweiz? Ist
das "Safe Harbor" Abkommen zwischen der
Schweiz und der USA noch gültig? Wie müssen
Schweizer Unternehmen reagieren? Dieser Beitrag
gibt Antworten und praktische Empfehlungen.
Am 6. Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) das von der Europäischen Kommission genehmigte Datenschutzabkommen "Safe
Harbor" (zu Deutsch: Sicherer Hafen) zwischen
der EU und den USA für ungültig (EU Safe Harbor
Abkommen). Im Juli 2000 hatte die Europäische
Kommission entschieden, dass das EU Safe Harbor Abkommen eine genügende gesetzliche
Grundlage bildet für die rechtmässige Bekanntgabe von Personendaten von der EU an einen Empfänger mit Sitz in den USA, welcher sich vorab
freiwillig den Regeln des Abkommens unterworfen
hat. Im Jahr 2008 schloss die Schweiz mit den
USA ein separates Abkommen (Schweizer Safe
Harbor Abkommen), dessen Inhalt mit dem europäischen Vorbild aber praktisch identisch ist.
Die Bedeutung von Safe Harbor
Gemäss beiden Abkommen können USUnternehmen sich selbst zertifizieren und damit
nach US-Recht verpflichten, die im Abkommen
festgehaltenen Bearbeitungsgrundsätze einzuhalten. Dadurch erklärt das zertifizierte Unternehmen,
einen angemessenen Schutz von Personendaten
im Sinne von Art. 6 Abs. 1 des Bundesgesetzes
über den Datenschutz (DSG) auch in den USA zu
gewährleisten. Über 5000 US-Unternehmen machten von dieser Möglichkeit bereits Gebrauch. Das
Hauptziel des Abkommens war die Vereinfachung
der Einhaltung datenschutzrechtlicher Grundsätze
auch über die Grenzen Europas hinaus: Obschon
die Gesetzgebung der USA keinen angemessenen
Datenschutz gewährleistet, ermöglichte das Abkommen den freien Datentransfer zwischen einem
Schweizer Unternehmen und einem zertifizierten
US-Unternehmen, ohne dass die Parteien diesen
vorab vertraglich oder auf eine andere Weise den
gesetzlichen Vorgaben von Art. 6 DSG entsprechend regeln mussten.
Datenschutz – das "Safe Harbor" Urteil des EuGH aus Schweizer Sicht
12. Oktober 2015
Obschon die vertragliche Regelung des grenzüberschreitenden Datentransfers dank der von der
Europäischen Kommission genehmigten und in der
Schweiz gleichsam anwendbaren Standardvertragsklauseln (EU Model Clauses) keine besonderen Schwierigkeiten bereitet, stützen sich viele
Parteien dennoch auf das Schweizer Safe Harbor
Abkommen, weil der damit verbundene administrative Aufwand, etwa wegen der fehlenden Informationspflicht (Art. 6 Abs. 3 DSG), geringer ist. Aus
diesem Grund ist das EU wie auch das Schweizer
Safe Harbor Abkommen bei US-Unternehmen, die
für ihre Europäischen Kunden Online-, IT- und
andere Dienstleistungen anbieten und zu diesem
Zwecke deren Daten in den USA bearbeiten müssen, besonders beliebt.
Die Auswirkungen des EuGH-Urteils
Die Ungültigkeitserklärung des EU Safe Harbor
Abkommens durch den EuGH bedeutet für Unternehmen im EU-Raum, dass das Abkommen ab
sofort im Grunde keine gesetzlich legitimierte
Grundlage für den Datentransfer in die USA mehr
bildet. Das Urteil hat jedoch in all jenen Fällen
keine unmittelbaren Auswirkungen, in denen der
Datentransfer auf Basis von bilateralen respektive
multilateralen Datenschutzverträgen, verbindlichen
unternehmensinternen Vorschriften (sog. Binding
Corporate Rules) oder auf der Grundlage eines
anderen hinreichenden Rechtfertigungsgrundes
erfolgt. Diejenigen Unternehmen, welche ihre Daten ausschliesslich gestützt auf das EU Safe Harbor Abkommen in die USA transferiert haben, sind
allerdings gezwungen, einen angemessenen Datenschutz nunmehr mittels EU Model Clauses oder
Binding Corporate Rules zu gewährleisten. Ansonsten drohen ihnen zumindest in einigen EUMitgliedstaaten Strafzahlungen.
Aus Schweizer Sicht sind demgegenüber in der
Regel keine sofortigen Anpassungen notwendig.
Weder erklärt das EuGH-Urteil das Schweizer Safe
Harbor Abkommen direkt für ungültig, noch werden
die Schweizer Behörden dieses nun kündigen oder
2|6
aussetzen. Die Begründung für die Ungültigkeitserklärung des EU Safe Harbor Abkommens ist
sodann auch nicht neu: Der EuGH befand, dass
die Europäische Kommission im Rahmen ihrer
Entscheidung im Jahr 2000 nicht ausreichend berücksichtigt habe, ob die US-Gesetzgebung einen
ausreichenden Schutz vor Zugriffsmöglichkeiten
von US-Behörden auf Personendaten, welche aus
der EU stammen und von US-Unternehmen bearbeitet werden, biete. Er argumentierte weiter, dass
das EU Safe Harbor Abkommen lediglich den USUnternehmen den datenschutzwidrigen Umgang
untersage, die US-Behörden sich jedoch weiterhin
uneingeschränkt Zugriff auf dieselben Daten verschaffen können.
Bereits seit 2013, ausgelöst von der Enthüllungsaffäre des ehemaligen NSA-Mitarbeiters Edward
Snowden, verhandelt die Europäische Kommission
mit der US-Regierung über eine Neuauflage des
(nun für ungültig erklärten) EU Safe Harbor Abkommens mit dem Ziel, von der US-Regierung in
exakt denjenigen Punkten ein Entgegenkommen
zu bewirken, welche nun im EuGH-Urteil kritisiert
worden sind. Bisher verliefen die Verhandlungen
jedoch ohne grossen Erfolg. Das EuGH-Urteil
könnte daher in diesem Punkt den Verhandlungsdruck auf der Seite der Europäischen Kommission
entscheidend erhöhen.
Gute Chancen für ein verbessertes Safe Harbor
Abkommen
Wir gehen davon aus, dass sich die Europäische
Kommission mit der US-Regierung in naher Zukunft auf eine Neufassung des EU Safe Harbor
Abkommens einigen wird. Wie bereits in der Vergangenheit mehrfach vorgekommen (bspw. im
Zusammenhang mit der SWIFT-Affäre oder den
Flugpassagierdaten), werden die USA Eingeständnisse hinsichtlich eines verbesserten Schutzes
von EU-Personendaten vor dem Zugriff und der
Verwendung der Daten durch die US-Regierung
machen müssen. Wir erwarten, dass die Schweizer Regierung und der Eidgenössische Daten-
Datenschutz – das "Safe Harbor" Urteil des EuGH aus Schweizer Sicht
12. Oktober 2015
schutz- und Öffentlichkeitsbeauftragte (EDÖB) die
USA um eine entsprechende Anpassung des
Schweizer Safe Harbor Abkommens ersuchen
wird. Wie der EDÖB bereits öffentlich bekannt gab,
ist aus seiner Sicht nur ein international koordiniertes Vorgehen zielführend.
Verbleibende Unsicherheit auch in der Schweiz
Bis Klarheit über die aktuelle Situation herrscht,
wird auch aus Schweizer Sicht eine gewisse rechtliche Unsicherheit bestehen bleiben. Dies zeigen
mitunter die unzähligen Anfragen von Klienten,
welche uns in den letzten Tagen erreicht haben.
Obschon das Schweizer Safe Harbor Abkommen
zurzeit weder ausser Kraft gesetzt noch widerrufen
wurde, stellt das EuGH-Urteil dennoch die Angemessenheit des Schutzes von Personendaten
unter dem heutigen Abkommen in Frage (vgl.
nachfolgend unsere Empfehlungen).
Es sprechen gute Gründe dafür, dass das Schweizer Safe Harbor Abkommen nach wie vor einen
angemessenen Schutz von Personendaten gewährleistet. Denn die gleichen Argumente mit denen der EuGH das EU Safe Harbor Abkommen für
ungültig erklärt hat, lassen sich auch auf jede andere vertragliche Vereinbarung, wie z.B. auch auf
die EU Model Clauses, übertragen. Wir können
nicht nachvollziehen, weshalb ein vertraglich verpflichtetes US-Unternehmen die betroffenen Personendaten grundsätzlich besser vor einem nach
US-Recht vorgesehenen Zugriff der US-Regierung
schützen kann als ein gemäss Safe Harbor Abkommen zertifiziertes Unternehmen. Das DSG und
die dazugehörige Datenschutzverordnung statuieren sodann explizit, dass durch vertragliche Vereinbarungen ein angemessener Schutz von Personendaten, welche ins Ausland – mithin auch in
die USA – transferiert werden, gewährleistet werden kann. Das Gleiche gilt auch nach EU-Recht.
Davon ausgehend, dass niemand ernsthaft das
Ziel verfolgt, sämtliche Datentransfers in die USA
zu unterbinden, sind die Argumente des EuGH in
3|6
erster Linie formeller Natur und weniger auf den
eigentlichen Inhalt des Datenschutzes ausgerichtet: Die Europäische Kommission hat sich bei der
Genehmigung des EU Safe Harbor Abkommens
auf Art. 25 der EU-Datenschutzrichtlinie 95/46/EG
gestützt. Dieser erlaubt grenzüberschreitende Datentransfers mit weniger Formalitäten, stellt jedoch
an die Genehmigung durch die Kommission inhaltlich höhere Anforderungen als Art. 26 der EUDatenschutzrichtlinie im Zusammenhang mit der
Genehmigung von EU Model Clauses. Dennoch ist
der daraus resultierende Schutz von Personendaten in den USA in beiden Fällen als gleichwertig
einzustufen. Auch im Schweizer Datenschutzrecht
gibt es eine entsprechende Differenzierung: Der
Transfer von Personendaten in die USA unter dem
Schweizer Safe Harbor Abkommen ist gemäss
Art. 6 Abs. 1 DSG zulässig, während sich der Datentransfer auf vertraglicher Grundlage auf Art. 6
Abs. 2 lit. a DSG stützt.
Folglich liesse sich die gegenwärtige Unsicherheit
damit lösen, dass das Schweizer Safe Harbor Abkommen auf derselben rechtlichen Grundlage wie
die EU Model Clauses angewendet wird. Diese
Lösung ist nicht neu, sondern wurde bereits vor
der Einführung des Schweizer Safe Harbor Abkommens im Jahr 2008 angewendet: Die USUnternehmen verpflichteten sich gegenüber dem
Datenexporteur vertraglich an das EU Safe Harbor
Abkommen gebunden zu sein, was als angemessene Garantie im Sinne von Art. 6 Abs. 2 DSG
galt. Selbst wenn man zum Schluss käme, dass
das Schweizer Safe Harbor Abkommen keinen
ausreichenden Schutz gemäss Art. 6 Abs. 1 DSG
gewähren würde, kann die soeben skizzierte Lösung nach Art. 6 Abs. 2 lit. a DSG weiterhin als
ausreichend qualifiziert werden.
Es bleibt die Eigenverantwortung
Nach Schweizer Recht hat stets der Inhaber der
Datensammlung, also derjenige der die Daten ins
Ausland übermittelt, sicherzustellen, dass die
transferierten Personendaten tatsächlich auch
Datenschutz – das "Safe Harbor" Urteil des EuGH aus Schweizer Sicht
12. Oktober 2015
angemessenen geschützt sind und dies auch während der gesamten Zeit bleiben. Dies hatte trotz
"Genehmigung" der EU Model Clauses und dem
Schweizer Safe Harbor Abkommen seine Gültigkeit. Ebenso war es nach Schweizer Recht stets
klar (anders als in der EU, was letztlich auch der
Auslöser für das Verfahren vor dem EuGH war),
dass die Liste derjenigen Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet (Art. 31 DSG) rechtlich unverbindlich
ist. In der Praxis stellte jedoch kaum jemand diese
Liste des EDÖB in Frage. Zudem hat sich der
EDÖB bereits im Jahr 2008 bei der Ausarbeitung
des Schweizer Safe Harbor Abkommens das
Recht vorbehalten, einem Schweizer Unternehmen
im konkreten Fall zu empfehlen, seinen grenzüberschreitenden Datentransfer an ein USUnternehmen trotz dessen Zertifizierung unter dem
Schweizer Safe Harbor Abkommens auszusetzen.
Damit lässt sich sagen, dass das Schweizer Safe
Harbor Abkommen zwar grundsätzlich eine ausreichende rechtliche Grundlage für den Datenexport
in die USA darstellt, jedoch schon immer Ausnahmefälle denkbar waren. Der EDÖB wird nun von
jedem Unternehmen eine einzelfallweise Beurteilung erwarten, ob das Schweizer Safe Harbor Abkommen in Bezug auf den betreffenden Datentransfer an ein US-Unternehmen einen ausreichenden Schutz bietet, oder ob allfällige Zusatzvereinbarungen notwendig werden.
Die Schweiz wird sich der EU anpassen
Allein der Umstand dass sich die US-Regierung
aus Gründen der nationalen Sicherheit jederzeit
rechtmässigen Zugriff auf persönliche Daten von
US-Unternehmen verschaffen kann, muss nicht
per se bedeuten, dass die Daten unzureichend
geschützt sind. Das Übereinkommen 108 des Europarats, welches gemeinhin als Massstab für die
Angemessenheit des Datenschutzes gilt (im
EuGH-Urteil jedoch nicht berücksichtigt wurde),
sieht vor, dass eine Abweichung von datenschutzrechtlichen Grundsätzen "zum Schutz der Sicher-
4|6
heit des Staates, der öffentlichen Sicherheit sowie
der Währungsinteressen des Staates oder zur
Bekämpfung von Straftaten" zulässig ist, "wenn sie
durch das Recht der Vertragspartei vorgesehen
und in einer demokratischen Gesellschaft eine
notwendige Massnahme" ist. Es kann sodann angenommen werden, dass die Angemessenheitsprüfung des Schweizer Safe Harbor Abkommens
in Bezug auf ein Unternehmen wie Facebook (auf
welches sich das EuGH-Urteil bezieht) anders
ausfällt als in Bezug auf ein Unternehmen, welches Daten für eine klinische Studie bearbeitet.
Selbst bei der Verfolgung eines pragmatischen
Ansatzes ist damit zu rechnen, dass die Schweiz
letzten Endes den gleichen Weg wie die EU einschlagen wird. Dadurch beugt die Schweiz dem
Risiko vor, dass die Europäische Kommission die
hiesige Datenschutzgesetzgebung einzig wegen
einer individuellen Haltung gegenüber dem Datenexport in die USA als unangemessen einstufen
wird. Falls die Revisionsverhandlungen des EU
Safe Harbor Abkommens und die mit dem EuGHUrteil einhergehenden Unsicherheiten zu lange
andauern, kann sich die Schweiz alsdann genötigt
sehen, ihrerseits das Schweizer Safe Harbor Abkommen, zumindest hinsichtlich der in Art. 6
Abs. 1 DSG statuierten Angemessenheit, zu widerrufen oder auszusetzen.
Unsere praktischen Empfehlungen
Angesichts des EuGH-Urteils können wir verstehen, wenn sich auch Schweizer Unternehmen
nicht länger auf das Schweizer Safe Harbor Abkommen verlassen wollen. Wir empfehlen Ihnen
deshalb, wie folgt vorzugehen:
Schweizer Unternehmen, die ihre Daten einem
US-Unternehmen zur Auftragsdatenbearbeitung übertragen haben und sich hierbei auf das
Schweizer Safe Harbor Abkommen stützen (z.B.
ein US-Service Provider, welcher Daten im Auftrag
eines Schweizer Unternehmens bearbeitet), erfüllen weiterhin die gesetzlichen Anforderungen und
Datenschutz – das "Safe Harbor" Urteil des EuGH aus Schweizer Sicht
12. Oktober 2015
müssen keine notwendigen Schritte einleiten, sofern sie die Auftragsdatenbearbeitung schon bisher
rechtskonform ausgestaltet haben. Diese sog.
Controller-Processor-Konstellation sind in der Praxis am häufigsten.
Die Empfehlung basiert auf den folgenden Überlegungen: Das geltende Schweizer Recht (Art. 10a
DSG) sieht bereits heute vor, dass vertragliche
Bestimmungen die Verarbeitung personenbezogener Daten regeln müssen. Eine solche Regelung
gewährt im Grundsatz das gleiche Schutzniveau
wie die EU Model Clauses, welche für den Datentransfer vom Inhaber auf den Bearbeiter vorgesehen sind (Controller-Processor Clauses). Die
Schutzwirkungen des Schweizer Safe Harbor Abkommens müssen folglich nicht mit EU Model
Clauses oder einer anderen Datenschutzvereinbarung ergänzt werden.
Diese Empfehlung steht sodann im Einklang mit
der aktuellen Stellungnahme des EDÖB zum
EuGH-Urteil, welche den Unternehmen zu ergänzenden vertraglichen Garantien rät. Solange der
EDÖB das Schweizer Safe Harbor Abkommen
nicht widerruft, besteht sodann auch keine Informationspflicht im Sinne von Art. 6 Abs. 3 DSG.
Schweizer Unternehmen, die ihre Daten einem
US-Unternehmen in der Funktion eines Datenverantwortlichen ("Controller") übertragen haben und sich hierbei auf das Schweizer Safe
Harbor Abkommen stützen (z.B. konzerninterner
Datentransfer), werden das Risiko beurteilen müssen, das davon ausgeht, dass die US-Behörden im
Vergleich zu den Behörden in der Schweiz oder
der EU umfassendere Kompetenzen haben, um
auf diese an sich geschützten Daten zuzugreifen
und diese auch zu nutzen. In den meisten Fällen
wird dieses Risiko jedoch bereits aufgrund der Art
der Daten nicht oder nicht wesentlich höher sein
(bspw. bei HR-Daten, welche einem USSchwesterunternehmen zur Verfügung gestellt
werden).
5|6
Besteht im Einzelfall ein ernstzunehmendes, erhöhtes Risiko, empfiehlt es sich zu prüfen, ob der
Transfer der Daten nötig ist oder sich ggf. auch
technische und organisatorische Schutzmassnahmen ergreifen lassen. Geht es nicht ohne Datenexport, fährt ein Unternehmen sicherer, wenn es
aus formaler Sicht mit dem US-Unternehmen ergänzend EU Model Clauses abschliesst. Darin ist
etwa geregelt, dass der Datenimporteur den exporteur über jeden rechtmässigen Zugriffsversuch der Regierungsbehörden zu informieren hat.
Hierbei gilt es anzumerken, dass sich solche Bestimmungen in der Praxis in vielen StandardGeheimhaltungsklauseln herkömmlicher Verträge
bereits finden und so auf diese Weise einen zum
Schweizer Safe Harbor Abkommen zusätzlichen
vertraglichen Schutz gewähren können, ohne dass
weitere Schritte nötig sind.
Falls die vorstehende Empfehlung nicht praktikabel
scheint oder zu viel Zeit in Anspruch nehmen würde, das Schweizer Unternehmen es aber nicht
einfach beim bestehenden System belassen will,
sollte das US-Unternehmen um eine kurze Erklärung (in der Form eines Briefs) ersuchen, worin
sich das US-Unternehmen vertraglich verpflichtet,
das Schweizer Safe Harbor Abkommen für alle
Daten aus der Schweiz einzuhalten. Eine solche
Erklärung entspricht, wenn sie korrekt vorgenommen wird, den vertraglichen Garantien von Art. 6
Abs. 2 lit. a DSG und macht damit einen zusätzlichen Abschluss von EU Model Clauses oder Binding Corporate Rules entbehrlich. Diese vertragliche Verpflichtung muss allerdings nach Art. 6 Abs.
3 DSG dem EDÖB gemeldet werden, freilich nur,
wenn und falls das Schweizer Safe Harbor Agreement widerrufen oder ausgesetzt werden sollte (da
sonst formal weiterhin ein Export nach Art. 6 Abs.
1 DSG vorliegt).
Wenn ein Schweizer Unternehmen beabsichtigt,
ein neues Vertragsverhältnis mit einem USUnternehmen einzugehen, raten wir jedoch aktuell
davon ab, sich hierbei ausschliesslich auf das
Schweizer Safe Harbor Abkommen zu verlassen.
Datenschutz – das "Safe Harbor" Urteil des EuGH aus Schweizer Sicht
12. Oktober 2015
Stattdessen empfehlen wir den Abschluss von EU
Model Clauses oder die oben erwähnte Lösung im
Zusammenhang mit der Übertragung von Daten zu
reinen Bearbeitungszwecken (Controller-Processor
Clauses). Es ist ohnehin zu erwarten, dass USService Provider im Lichte des EuGH-Urteils nicht
mehr darauf beharren werden, dass das Schweizer Safe Harbor Abkommen ausreichenden Schutz
gewährt.
________________________________________
Gerne beraten wir Sie hinsichtlich Ihrer individuellen Situation, bewerten den aktuellen Transfer
Ihrer Daten in die USA und helfen Ihnen bei allfälligen vertraglichen Anpassungen, damit Ihr Unternehmen die aktuelle Situation und die vom EuGH
hervorgerufenen Unsicherheiten möglichst einfach
und pragmatisch meistern wird.
David Rosenthal
Counsel, lic. Iur.
[email protected]
T +41 43 222 1000
Practice Teams
Intellectual Property | Information Technology (IP|IT)
Competition | Regulatory (CORE)
Homburger AG
Prime Tower
Hardstrasse 201 | CH-8005 Zurich
P.O. Box 314 | CH-8037 Zurich
T +41 43 222 10 00
F +41 43 222 15 00
[email protected]
Rechtlicher Hinweis
Dieses Homburger Bulletin gibt allgemeine Ansichten der Autoren
zum Zeitpunkt dieses Bulletins wieder, ohne dabei konkrete Fakten
oder Umstände einer bestimmten Person oder Transaktion zu
berücksichtigen. Es stellt keine Rechtsberatung dar. Das Bulletin
darf von niemandem als Grundlage verwendet werden, gleichgültig
für welchen Zweck. Jede Haftung für die Genauigkeit, Richtigkeit
oder Angemessenheit der Inhalte dieses Homburger Bulletins ist
ausdrücklich ausgeschlossen.
6|6

Download Report