Safe Harbor-Urteil: Wie weiter in der Schweiz?

Foto: Schiff, das auf Grund gelaufen istPersonendaten aus der Europäischen Union (EU) dürfen in andere Länder übertragen werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Für die Vereinigten Staaten von Amerika (USA) hatte die Europäische Kommission festgestellt, dass die so genannte Safe Harbor-Regelung zwischen der EU und den USA ein solches Datenschutzniveau gewährleistet. Amerikanische Unternehmen konnten sich freiwillig dieser Regelung unterwerfen.

Europäische Union: Safe Harbor-Urteil vom 6.­Oktober 2015

Nun hat der Europäische Gerichtshof (EuGH) diese Safe Harbor-Regelung für ungültig erklärt (Urteil C-362/14 vom 6. Oktober 2015). Hintergrund ist ein Rechtsstreit zwischen dem österreichischen Studenten Max Schrems und Facebook in Irland, insbesondere auch aufgrund der Enthüllungen von Whistleblower Edward Snowden zur globalen Massenüberwachung. Der EuGH stellte fest, dass in den USA kein wirksamer Rechtsschutz in Bezug auf Personendaten besteht. Ausserdem verhindert die Safe Harbor-Regelung die anlasslose und verdachtsunabhängige Massenüberwachung in den USA nicht – die Safe Harbor-Regelung war gemäss dem EuGH ein Papiertiger.

Amerikanische Unternehmen, die Personendaten aus der EU bearbeiten, zum Beispiel Facebook, Google oder Salesforce, können sich deshalb ab sofort nicht mehr pauschal darauf berufen, dass sie die Safe Harbor-Regelung einhalten und deshalb ein angemessenes Datenschutzniveau gewährleisten. Gleiches gilt für europäische Unternehmen, die Personendaten in den USA bearbeiten lassen. Ob Alternativen wie insbesondere die EU-Standardvertragsklauseln möglich sind, ist fraglich und wird von Datenschutz-Aktivisten bereits bestritten.

Schweiz: Welche Auswirkungen hat das Safe Harbor-Urteil?

Zwischen der Schweiz und der USA besteht seit mehreren Jahren ein vergleichbares Safe Harbor-Abkommen (Safe Harbor Framework, PDF). Gemäss Staatenliste (PDF) des Eidgenössischen Datenschutzbeauftragten (EDÖB) von Mitte 2014 besteht in den USA ein angemessener Datenschutz, sofern sich die Datenbearbeiter der amerikanisch-schweizerischen Safe Harbor-Regelung unterwerfen.

Das Safe Harbor-Urteil des EuGH hat keine direkten Auswirkungen auf die Schweiz, da der EuGH im Datenschutzrecht nicht für die Schweiz zuständig ist. Folgen der EDÖB oder ein schweizerisches Gericht aber den Argumenten des EuGH, wird die Safe Harbor-Regelung auch aus schweizerischer Sicht keinen angemessenen Datenschutz in den USA gewährleisten können. Und genauso wie in der EU ist fraglich, ob als Alternative auf Standardvertragsklauseln und sonstige Ausnahmen gemäss Art. 6 Abs. 2 DSG ausgewichen werden kann. Immerhin beruhigt der EDÖB, es werde sich von heute auf morgen nicht alles ändern – gerade auch wegen der Macht des Faktischen aufgrund der heutigen Datenflüsse.

Unternehmen in der Schweiz, die schweizerische Personendaten in den USA bearbeiten lassen, sollten sich dennoch darauf vorbereiten, dass die Safe Harbor-Regelung als Argument für angemessenen Datenschutz in den USA nicht mehr zählt. Vermutlich gibt es kaum ein Schweizer Unternehmen, das nicht direkt oder indirekt Daten in den USA bearbeiten lässt.

Unternehmen in der Schweiz, die EU-Personendaten bearbeiten, müssen Alternativen per sofort prüfen. Je nach Auslegung des Safe Harbor-Urteils könnte man durchaus zum Ergebnis gelangen, dass gar keine Personendaten mehr in den USA bearbeitet werden dürfen, solange sich dort bezüglich Rechtsschutz und Überwachung nichts ändert.

Urteil pro Datenschutz, aber wie geht’s nun weiter?

Das Safe Harbor-Urteil ist ein «ein grossartiger Zwischensieg gegen sehr starke Interessen». Das Urteil zeigt, dass eine einzelne Person wie Max Schrems mit den heutigen Möglichkeiten im digitalen Raum einen solchen Zwischensieg gegen einen Grosskonzern wie Facebook erringen kann – mit freundlichen Grüssen von Edward Snowden.

Im besten Fall führt das Urteil dazu, dass amerikanische Unternehmen in Bezug auf den Datenschutz endlich umdenken müssen und sich nicht mehr auf der anderen Atlantik-Seite ihrer Verantwortung in Europa entziehen können. Dazu gehört auch das Recht auf Vergessen(werden), das beispielsweise von Google – wenn überhaupt – nur widerwillig umgesetzt wird.

Die EU und auch die Schweiz müssen die USA darauf verpflichten, dass für ihre Bürgerinnen und Bürger ein angemessenes Datenschutzniveau mit einem wirksamen Rechtsschutz im jeweiligen Wohnsitzland besteht. Ob das neue Datenschutzabkommen zwischen der EU und den USA angesichts des Safe Harbor-Urteils genügt, wird sich zeigen. Allenfalls kann die Schweiz wie schon bei der bisherigen Safe Harbor-Regelung im Windschatten der EU einen entsprechenden Erfolg erzielen, der EDÖB spricht zu Recht von einem «koordinierten Vorgehen unter Einbezug der EU».

Datenschutz: Gleich lange Spiesse, kein Datennationalismus

Hingegen wäre es bedauerlich, wenn das Safe Harbor-Urteil die Entwicklung hin zu immer mehr Datennationalismus verstärken würde. Dank zahlreichen Enthüllungen ist inzwischen allgemein bekannt, dass jede mögliche Art von anlassloser und verdachtsunabhängiger Massenüberwachung auch ohne ausdrückliche Rechtsgrundlage und gegen den rechtsstaatlichen Grundsatz der Verhältnismässigkeit stattfindet. Diese Massenüberwachung verletzt Menschenrechte wie das Recht auf Privatsphäre und findet längst nicht nur in den USA, sondern weltweit statt – auch in der EU und in der Schweiz. Europäische Sicherheitsbehörden kooperieren intensiv mit den USA oder spionieren gar die eigenen Bürgerinnen und Bürger aus.

Deshalb wäre es scheinheilig und nicht zielführend, die Bearbeitung von Personendaten in den USA mit dem Argument der Massenüberwachung zu erschweren oder gar zu verbieten. Personendaten sind weder in der EU noch in der Schweiz sicher, das Safe Harbor-Urteil ändert nichts an der globalen Massenüberwachung. Die schweizerischen Behörden führen keine Strafverfahren gegen NSA & Co. und noch mehr Massenüberwachung soll unter anderem durch das neue Nachrichtengesetz (NDG) – wohl nachträglich – legalisiert werden …

Jenseits der Massenüberwachung dürften Personendaten bei vielen amerikanischen Unternehmen mehr Datensicherheit geniessen als in Europa. Amerikanische Cloud-Anbieter sind ihrer europäischen Konkurrenz nicht nur funktional und preislich meist hoch überlegen, sondern verfügen auch über Know-how und Ressourcen um die Datensicherheit zu gewährleisten. Der wirtschaftliche Schaden in Europa wäre immens, wenn amerikanische Angebote nicht mehr genutzt werden könnten. Im Datenschutz müssen die tatsächlichen Risiken berücksichtigt werden und es darf keine Regulierung mit schädlichem Heimatschutz erfolgen, bloss weil europäische Unternehmen im digitalen Raum nicht konkurrenzfähig sind.

Beim Datenschutz allerdings müssen amerikanische und europäische Unternehmen über gleich lange Spiesse verfügen – dafür müssen sich die EU und die Schweiz gegenüber den USA einsetzen. Dabei muss sich Europa aber auf die Verteidigung von Menschenrechten wie dem Recht auf Privatsphäre besinnen und die Datensicherheit mit grossem Einsatz fördern. Man kann von den USA nicht glaubwürdig mehr Datenschutz fordern, diesen gegenüber den eigenen Bürgerinnen und Bürgern aber immer weiter aushöhlen.

Bild: Flickr / Jonathan Leung, «Sunrise Orient Wreck», CC BY-SA 2.0 (generisch)-Lizenz.


Nachtrag vom 9. Oktober 2015

Schweizerische Anwaltskollegen haben eigene Beiträge zum Safe Harbor-Urteil veröffentlicht, immer auch mit Blick auf die Schweiz:

In Deutschland warnt Anwaltskollege Thomas Stadler vor Euphorie über das Safe Harbor-Urteil:

«Die Medien haben geradezu euphorisch auf das Urteil […] reagiert. […] Die euphorische Reaktion rührt auch daher, dass der Gerichtshof auch sehr deutlich den Datenzugriff von US-Geheimdiensten kritisiert, der erfolgt, ohne, dass es ausreichende Rechtsschutzmöglichkeiten für europäische Bürger gibt. An dieser Stelle muss natürlich die Frage erlaubt sein, welche effektiven Rechtsschutzmöglichkeiten ein europäischer Bürger beispielsweise gegen die Datenzugriffe des BND oder des GHCQ hat. […]

[…] Wir werden infolge des EuGH-Urteils Europa nicht vom Internet abkoppeln und auch hiesige Unternehmen nicht daran hindern, personenbezogene Daten in die USA zu übermitteln. Das Urteil wird praktisch nicht viel ändern. Mit ihm verbindet sich allenfalls die Hoffnung, dass die Kommission jetzt mit den USA ein datenschutzrechtliches Abkommen verhandeln und abschließen wird, das über die Augenwischerei von Safe Harbor hinausgeht.

Die Entscheidung zeigt aber auch, dass das Grundkonzept unseres Datenschutzrechts, das auch durch die geplante Datenschutzgrundverordnung nicht in Frage gestellt wird, den Anforderungen des Internetzeitalters nicht genügt und letztlich zu unauflösbaren Widersprüchen führt. […]»

Am Donnerstag sprach ich im Tagesgespräch bei Radio SRF 1 mit Marc Lehmann live über das Safe Harbor-Urteil.


Nachtrag vom 22. Oktober 2015

Der EDÖB hat seine Website dahingehend aktualisiert, dass die Safe Harbor-Regelung «auch in der Schweiz keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten in die USA» bildet. Immerhin sieht der EDÖB aber Spielraum für vertragliche Anpassungen, die bis Ende Januar 2016 vorgenommen werden müssen.

In einem Online-Kommentar gibt sich der stellvertretende EDÖB eher hilfslos-ratlos:

«Le document publié aujourd’hui s’adresse d’abord aux entreprises. Suite à la décision de la CJUE, le Safe Habor ne peut plus être appliqué et ce même si aucun tribunal en Suisse n’a été saisi. La Suisse est liée par la décision d’adéquation et ne peut faire cavalier seul au risque que l’UE revoie sa décision. Le PFPDT ne peut en outre pas formellement dénoncer l’accord Safe Harbor. Cela relève de la responsabilité du CF. Ce que nous attendons, c’est qu’en coordination avec l’UE, un nouveau cadre soit mis en place pour assurer la pdd lors du transfert de données aux USA. Dans l’intervalle, on ne peut pas bloquer les flux et c’est la raison pour laquelle nous recommandons de passer par les clauses contractuelles ou les BCR, même si nous sommes conscients, comme nos homologues européens, que ce n’est pas suffisant.»

(Via Anwaltskollege Sylvain Métille.)


Nachtrag vom 28. Oktober 2015

Der EDÖB hat auf seiner Website erneut informiert und schreibt unter anderem:

«Der EDÖB vertritt die Auffassung, dass Safe Harbor zur Absicherung des gleichwertigen Datenschutzniveaus in den USA aus den vom Europäischen Gerichtshof (EuGH) angeführten Gründen ungenügend ist. Dementsprechend hat er seine Staatenliste angepasst. Es sind zusätzliche Massnahmen zu treffen, um die Voraussetzungen nach Art. 6 DSG für eine zulässige Datenübermittlung in die USA zu erfüllen. In den meisten Fällen dürfte dies durch vertragliche Garantien nach Art. 6 Abs. 2 lit. a DSG oder mit Hilfe von Binding Corporate Rules (BCR; Art. 6 Abs. 2 lit. g DSG) geschehen.»

(Via Anwaltskollege David Vasella.)

9 Kommentare

  1. «Je nach Auslegung des Safe Harbor-Urteils könnte man durchaus zum Ergebnis gelangen, dass gar keine Personendaten mehr in den USA bearbeitet werden dürfen, solange sich dort bezüglich Rechtsschutz und Überwachung nichts ändert.»

    In der Tat, das ist mir auch aufgefallen. Mit der Argumentation ‹ungezielte Massenüberwachung› kann m.E. genausogut die Rechtfertigung ‹Datenschutzgewährleistung durch Vertrag, z.B. mit Musterklausel› (Art. 6 Abs. 2 lit. a) in Frage gestellt werden. Ein Vertrag kann in der Situation, von welcher das EuGH-Urteil ausgeht, ja genau so wenig ein angemessenes Schutzniveau gewährleisten wie eine Safe-Harbour-Selbstzertifizierung. Und die Verantwortung für den Erhalt eines angemessenen Schutzniveaus bleibt ja beim Übermittler.

    1. @Gwendolan: Letztlich liegt das Problem darin, dass gemäss diesem Kriterium auch keine Bearbeitung von europäischen Personendaten in der Schweiz (und umgekehrt) möglich wäre … möchte man das wirklich?

  2. Vielen Dank für den Beitrag, ich denke nicht, dass ich vorläufig etwas ändern wird. Die Praxis ist doch die, dass praktisch jedes Unternehmen – sei es in der Schweiz oder sonst wo in Europa – heute in irgendeiner Art mit einem US amerikanischen Daten Unternehmen verbandelt ist ( Oracle, IBM, Salesforce, Mailchimp, HubSpot…). Ich frage mich, was ich unseren Kunden sagen soll, die zum Beispiel ganz einfache Dienste nutzen oder gar nur einen Facebook Like klicken. Wie sehen Sie’s, Herr Steiger?

  3. Für mich stellt sich die Frage, ob ich auf einer Homepage, die mit Google Analytics verbunden ist (…welche ist das nicht), die Sache meinerseits mit einem entsprechenden Zusatz im Disclaimer geregelt kriege, oder ob generell davon ausgegangen werden kann, das Daten, die in die USA übertragen werden, «unsicher» behandelt werden?

  4. Wenn eine Firma Plattformen resp. Dienste wie Office365, Google Apps etc. nutzt und in diesen unter anderem Kontaktdaten (Mail-Adresse, Name, Tlefonnummer, …) ihrer Kunden, Geschäftspartner etc. hält und pflegt, ist dies nach dem EuGH und dessen Interpretation durch den EDÖB überhaupt noch möglich aus rechtlicher Sicht?

    1. @Alpöhi:

      In diesem Zusammenhang gibt es verschiedene Ansichten. Vertragliche Garantien sollten weiterhin möglich sein, was zum Beispiel Google und Microsoft auch schon seit einiger Zeit ermöglichen (Stichwort «EU Model Clauses»). Letztlich führt aber kein Weg an einer Beurteilung im Einzelfall vorbei …

  5. Was ist den nun Sache betreffend Safe-Harbour Abkommen zwischen CH und USA?
    Der EDÖB schreibt auf seiner Webseite «Solange kein neues Abkommen mit der amerikanischen Regierung ausgehandelt ist, bildet das Safe-Harbor-Abkommen auch in der Schweiz keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten in die USA.», währenddem inside-it.ch am 19.11.2015 einen Artikel puliziert, gemäss dem der Bundesrat auf eine Kündigung oder Sistierung des Abkommens vorerst verzichtet. Ist folgende Schlussfolgerung daher korrekt: Der EDÖB hat lediglich eine beratende Rolle und für mich als Unternehmen ändert sich bereffend Datenübermittlung von Personendaten in die USA vorerst nichts?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.