Aus Safe Harbor wird Privacy Shield: Folgen des Urteils des EuGH i.S. Schrems

Iris Sidler | David Vasella

Zum Urteil des EuGH in der Rechtssache C-362/14 vom 6. Oktober 2015, Maximilian Schrems vs. Data Protection Commissioner

Iris Sidler | David Vasella

Inhaltsverzeichnis

I.Ausgangslage

1. Europäisches Datenschutzrecht

2. Safe Harbor

II.Das Urteil des EuGH i.S. Schrems vom 6. Oktober 2015

1. Ausgangslage und Prozessverlauf

2. Kernaussagen

III.Reaktionen auf das Urteil in Europa

1. Restriktiv: Datentransfers in die USA sind zurzeit kaum mehr erlaubt

2. Abwartend: Andere Grundlagen für Datentransfers in die USA müssen überprüft werden

3. Pragmatisch: Andere Grundlagen für Datentransfers in die USA sind nicht infrage gestellt

4. Phoenix aus der Asche: Aus Safe Harbor wird Privacy Shield

5. Wirtschaftliche Folgen des Urteils

IV.Rechtslage in der Schweiz

1. Grundsätze des schweizerischen Datenschutzrechts

2. Reaktion des EDÖB auf das Urteil des EuGH

3. Zwischenfazit zur Rechtslage in der Schweiz

Zusammenfassung | Résumé

Das europäische Datenschutzrecht will ein hohes Datenschutzniveau gewährleisten. Bei der Bearbeitung personenbezogener Daten müssen die Grundrechte und -freiheiten gewährleistet sein, insbesondere das Recht auf Privatsphäre. Dies verlangt bei einer grenzüberschreitenden Bekanntgabe von Personendaten an einen Empfänger ausserhalb der EU, dass das Recht des Empfängerstaats ein angemessenes Datenschutzniveau gewährleistet. Fehlt ein solcher Schutz, ist die Bekanntgabe deshalb verboten, sofern nicht mindestens eine der in der Richtlinie vorgesehenen Ausnahmen erfüllt ist.

|Ob das Schutzniveau des Empfängerstaats angemessen ist, ist dabei unter Berücksichtigung aller relevanten Umstände festzustellen. Die Kommission kann mit Drittländern ohne angemessenem Schutzniveau sodann Verhandlungen aufnehmen, um diese dazu zu bewegen, durch internationale Verpflichtungen ein angemessenes Schutzniveau zu erreichen. Sodann kann die Kommission feststellen, dass ein Drittland aufgrund von innerstaatlichen Rechtsvorschriften oder von internationalen Verpflichtungen über ein angemessenes Schutzniveau verfügt.

Das US-Handelsministerium hat am 21. Juli 2000 – nach entsprechenden Verhandlungen mit der Kommission – «Grundsätze des sicheren Hafens» und zugehörige «häufig gestellte Fragen (FAQ)» vorgelegt. Diese Grundsätze und FAQ enthalten Datenschutzbestimmungen, denen sich US-Unternehmen freiwillig unterstellen konnten. Mit Entscheidung 2000/520 hat die Kommission anerkannt, dass diese Regeln im Verbund mit der entsprechenden Selbstverpflichtung der Unternehmen ein angemessenes Datenschutzniveau gewährleisten (Angemessenheit aufgrund der internationalen Verpflichtungen des sogenannten Safe-Harbor-Abkommens). Infolgedessen durften personenbezogene Daten aus der EU an US-amerikanische Unternehmen weitergeleitet werden, welche sich den Safe-Harbor-Grundsätzen unterstellt hatten, ohne dadurch europäisches Datenschutzrecht zu verletzen (deshalb «Safe Harbor»).

Maximilian Schrems, ein österreichischer Staatsbürger und bekannter Datenschutzaktivist, ist seit 2008 Nutzer von Facebook. Durch die Eröffnung des Facebook-Nutzerkontos ging er – wie alle europäischen Nutzer – einen Vertrag mit Facebook Ireland ein, einer europäischen Tochtergesellschaft von Facebook, Inc., mit Sitz in Kalifornien. Ein Teil der Infrastruktur von Facebook befindet sich jedoch in den USA. Facebook Ireland übermittelt deshalb Personendaten an Facebook, Inc. Diese Übermittlung stützte sich auf die Safe-Harbor-Zertifizierung von Facebook, Inc..

Am 25. Juni 2013, kurz nach den Enthüllungen von Edward Snowden, reichte Maximilian Schrems Beschwerde ein bei der irischen Datenschutzbehörde (dem Data Protection Commissioner, nachfolgend «Commissioner»). Er brachte vor, das US-amerikanische Recht schütze seine personenbezogenen Daten kaum vor behördlicher Überwachung. Die USA verfügten deshalb, so Schrems, nicht über ein angemessenes Datenschutzniveau, sodass die Weitergabe seiner personenbezogenen Daten an Facebook, Inc. gegen europäisches Recht verstosse.

Der Commissioner wies die Beschwerde zurück. Zum einen sah er keine Beweise für Zugriffe der NSA («National Security Agency», der grösste US-amerikanische Auslandsgeheimdienst) auf personenbezogene Daten von Schrems; und zum anderen hielt er sich aufgrund der Safe-Harbor-Entscheidung der Kommission nicht für verpflichtet, die behaupteten Tatsachen zu untersuchen. Die Beschwerde von Schrems sei vielmehr unseriös und schikanös.

Schrems zog diese Entscheidung des Commissioner an den irischen High Court weiter. Der High Court befand am 18. Juni 2014, dass die personenbezogenen Daten der Facebook-Nutzer durchaus einer massenhaften und ungezielten Überwachung der NSA ausgesetzt sein konnten. Das geheime Spezialgericht zur Überwachung des Auslandgeheimdienstes mache zudem eine unabhängige Überprüfung seiner Tätigkeit unmöglich. Die Enthüllungen von Snowden hätten vielmehr gezeigt, dass die US-Geheimdienste routinemässig |auf personenbezogene Daten von europäischen Bürgern zugreifen können. Zudem sei es in der Tat fraglich, ob die USA über angemessene Kontrollmöglichkeiten verfügten. Somit sei Schrems befugt, auch wenn er den Zugriff der US-Behörden auf seine personenbezogenen Daten nicht belegen könne, sich gegen den Datentransfer zur Wehr zu setzen.

Vor diesem Hintergrund unterbreitete der High Court dem EuGH zusammengefasst die Frage zur Vorabentscheidung, ob eine europäische Datenschutzaufsichtsbehörde bei der Prüfung einer Beschwerde an die Entscheidung der Kommission gebunden ist, welche ein angemessenes Datenschutzniveau eines Drittlandes feststellt, oder ob sie vielmehr eigene Ermittlungen zur Sache anstellen muss.

Der EuGH stellt zunächst fest, dass die nationalen Behörden befugt sein müssen, auf Antrag unabhängig von den Entscheidungen der Kommission zu prüfen, ob bei der Übermittlung von personenbezogenen Daten die Anforderungen des Europäischen Datenschutzrechts eingehalten wurden. Somit können und müssen sowohl die Kommission als auch die Mitgliedstaaten prüfen, ob ein Drittland über ein angemessenes Schutzniveau verfügt. Andernfalls würde die Charta der Grundrechte der Europäischen Union (nachfolgend «Charta») unterlaufen.

Die Mitgliedstaaten dürfen jedoch trotz ihrer Unabhängigkeit bei der Prüfung der Angemessenheit keine Massnahmen treffen, die einer Kommissionsentscheidung zuwiderlaufen.

Die Mitgliedstaaten und die nationalen Datenschutzaufsichtsbehörden sind daher nicht befugt, selbst die Ungültigkeit einer Kommissionsentscheidung festzustellen. Beschreitet eine betroffene Person den Rechtsweg und haben nationale Gerichte Zweifel an der Rechtmässigkeit einer Entscheidung der Kommission, müssen sie diese Frage vielmehr dem EuGH unterbreiten, wie es hier geschehen ist. Ferner müssen die Datenschutzaufsichtsbehörden ein eigenes Klagerecht haben, um bei Zweifeln an der Rechtmässigkeit einer Kommissionsentscheidung über die nationalen Gerichte eine Vorabentscheidung des EuGH zu erwirken.

Der EuGH prüfte sodann die Entscheidung 2000/520 der Kommission auf der Grundlage der Richtlinie im Licht der Charta, und zwar trotz der Tatsache, dass diese Frage gar nicht zur Vorabentscheidung vorgelegt worden war. Zum «angemessenen Datenschutzniveau» i.S.v. Art. 25 Abs. 2 der Richtlinie hielt er dabei fest, dass das ausländische Schutzniveau jenem des EU-Rechts nicht genau entsprechen muss. Verlangt wird aber, dass praktisch wirksame Mittel einen Schutz sicherstellen, der dem des europäischen Rechts der Sache nach gleichwertig ist.

Das Angemessenheitserfordernis des EU-Rechts verlangt vom Recht des Datenimporteurs daher unter anderem, dass Grundrechtseingriffe durch klare Regeln beschränkt werden. Zudem müssen Mindestanforderungen für den Rechtsschutz der betroffenen Personen bestehen. Dies gilt besonders bei automatischen Datenverarbeitungen und wenn die Gefahr unberechtigter Zugriffe besteht. Ferner müssen Ausnahmen vom Schutz von Personendaten auf das Notwendige beschränkt werden.

Ein System der Selbstzertifizierung – wie das Safe-Harbor-System – kann den erforderlichen Schutz durchaus gewährleisten, sofern wirksame Überwachungs- und Kontrollmechanismen bestehen, die es erlauben, Verletzungen des Datenschutzes festzustellen und zu ahnden. Vor dem Hintergrund der genannten Anforderungen stellt der EuGH aber mehrere Mängel des Safe-Harbor-Abkommens fest:

• –
  Das Abkommen bindet nur die Unternehmen, die sich den Regeln des Abkommens unterstellt haben, nicht aber die amerikanischen Behörden;
• –
  Safe-Harbor-zertifizierte Unternehmen bleiben entgegenstehendem inneramerikanischem Recht |verpflichtet, das den Schutz des Safe-Harbor-Abkommens deshalb unterlaufen kann;
• –
  die Kommission hat bei ihrer Entscheidung nicht geprüft, ob USamerikanische Rechtsvorschriften Grundrechtseingriffe angemessen begrenzen;
• –
  zudem hat die Kommission nicht festgestellt, ob die US-amerikanischen Rechtsvorschriften einen wirksamen gerichtlichen Rechtsschutz vermitteln;
• –
  die Kommission hätte ihre Entscheidungen zum angemessenen Schutzniveau regelmässig überprüfen müssen, um allfälligen Veränderungen Rechnung zu tragen.

Eine Regelung, die eine unterschiedslose Speicherung von Personendaten erlaubt und die behördliche Zugriffe und Datenbearbeitungen nicht auf das Notwendige beschränkt, ist mit den Anforderungen eines angemessenen Datenschutzes nicht vereinbar. Dies gilt umso mehr für eine Regelung, die es Behörden erlaubt, generell auf den Inhalt elektronischer Kommunikation zuzugreifen. Das Fehlen einer effektiven Möglichkeit, Zugang zu den eigenen Personendaten zu erhalten oder gegebenenfalls ihre Berichtigung oder Löschung zu erwirken, verletzt überdies den Anspruch auf wirksamen Rechtsschutz.

Die genannten grundsätzlichen Mängel des Safe-Harbor-Abkommens führen zum Ergebnis, dass das US-amerikanische Recht kein angemessenes Datenschutzniveau gewährleistet – und zwar unabhängig vom Inhalt der einzelnen Grundsätze des Abkommens. Der EuGH erklärt die Safe-Harbor-Entscheidung der Kommission deshalb für ungültig.

Das Urteil wurde kontrovers diskutiert. Angesichts der grundsätzlichen Bedenken gegenüber der US-amerikanischen Rechtsordnung, die im Urteil aufgeworfen werden, stellt sich vor allem die Frage, inwieweit Datenübermittlungen in die USA zurzeit überhaupt zulässig sind; denn uneingeschränkte Behördenzugriffe können auch Daten betreffen, die auf einer anderen rechtlichen Grundlage in die USA übermittelt wurden, beispielsweise gestützt auf eine Einwilligung, auf Konzerndatenschutzregeln oder auf die EU-Standardvertragsklauseln.

Innerhalb der Stellungnahmen zum Urteil lassen sich drei Hauptrichtungen unterscheiden: eine restriktive Haltung, eine abwartende Haltung und eine pragmatische Haltung. Nachfolgend werden diese Richtungen in groben Zügen dargestellt.

Acht Tage nach dem Urteil, am 14. Oktober 2015, hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein auf der Grundlage des deutschen Datenschutzrechts vertreten, dass künftig weder Einwilligungen noch Standardvertragsklauseln Datentransfers in die USA begründen können. In den Standardverträgen sichere der Datenimporteur zu, keinen Gesetzen zu unterliegen, die der Einhaltung seiner vertraglichen Pflichten entgegenstehen; und gerade dies könne ein US-Importeur nicht garantieren. Eine Übermittlung von Personendaten an US-Empfänger sei daher im Wesentlichen nur noch im Zusammenhang mit dem Abschluss oder der Abwicklung von Verträgen und auf Antrag oder im Interesse der betroffenen Person zulässig.

Am 20. Oktober 2015 hielt die deutsche Datenschutzkonferenz fest, dass vorläufig keine neuen Genehmigungen für Datenübermittlungen in die USA mehr |erteilt werden. Eine generelle Unwirksamkeit von Konzerndatenschutzregeln oder den EU-Standardvertragsklauseln wird aber nicht festgestellt. Auch Einwilligungen seien – unter engen Bedingungen – weiterhin eine tragfähige Grundlage.

Am 16. Oktober 2015 veröffentlichte die Artikel-29-Datenschutzgruppe eine Stellungnahme. Die Datenschutzgruppe kündigte darin an, die Auswirkungen des Urteils auf andere Übermittlungsmechanismen zu überprüfen. In der Zwischenzeit sei davon auszugehen, dass diese Mechanismen weiterhin eine ausreichende Grundlage für Datenübermittlungen in die USA darstellen.

Sollte aber bis Ende Januar 2016 mit den US-Behörden keine angemessene Lösung gefunden werden und sollte die Datenschutzgruppe nach vertiefter Prüfung zum Ergebnis kommen, dass die erwähnten Mechanismen angesichts der Feststellungen des EuGH keine ausreichende Sicherheit bieten, so sei es an den nationalen Aufsichtsbehörden, die erforderlichen und angemessenen Massnahmen zu treffen.

Am 6. November 2015 hat die Kommission ihre Analyse des Urteils veröffentlicht. Sie vertritt darin die Meinung, dass Datenübermittlungen in die USA auf der Grundlage von Einwilligungen, Konzerndatenschutzregeln oder EU-Standardvertragsklauseln weiterhin erlaubt seien. Dies wird durch den konzeptionellen Unterschied zwischen dem Angemessenheitsgrundsatz von Art. 25 und den Ausnahmeklauseln in Art. 26 der Richtlinie begründet: Die vom EuGH aufgehobene Kommissionsentscheidung 2000/520 hatte auf der Grundlage von Art. 25 generell die Angemessenheit des durch das Safe-Harbor-Abkommen vermittelten Schutzes festgestellt. In dieser Allgemeinheit war die Kommissionsentscheidung nicht haltbar. Die Ausnahmeregelungen in Art. 26 der Richtlinie erlaubten Datenübermittlungen dagegen im Einzelfall unter Berücksichtigung aller Umstände. Die Verantwortung für die Einhaltung des Datenschutzes liegt dabei freilich, wie die Kommission betont, beim Datenexporteur.

Der Deutsche Bundestag hat sich Mitte Dezember ebenfalls zu Safe Harbor geäussert. Er bewertet die Standardvertragsklauseln und die Einwilligung weiterhin als ausreichende Grundlagen für Datentransfers in die USA.

Das Safe-Harbor-Abkommen wurde seit Langem als unzureichend kritisiert. Die Verhandlungen für ein revidiertes Abkommen zwischen der EU und den USA liefen seit geraumer Zeit. Nun haben das Urteil des EuGH und der durch die Artikel-29-Datenschutzgruppe aufgebaute Druck Wirkung gezeigt: Die beiden Seiten haben sich am 2. Februar 2016 auf die Grundzüge eines revidierten Abkommens geeinigt, das auf «EU-US Privacy Shield» bzw. «EU-US-Datenschutzschild» getauft wurde (nachfolgend «Privacy Shield»). Am 29. Februar 2016 wurde sodann die Dokumentation des Privacy Shield veröffentlicht. Wie bereits das Safe-Harbor-Abkommen ist auch der Privacy Shield kein eigentliches Abkommen, sondern besteht viel|mehr aus Massnahmen und Zusagen seitens der USA, die es der Kommission erlauben sollen, diesbezüglich die Angemessenheit des amerikanischen Datenschutzniveaus festzustellen. Die Dokumentation enthält einführende Unterlagen, den Entwurf der Angemessenheitserklärung der Kommission mit einer Übersicht über die «Principles», die für unterstellte Unternehmen gelten werden, und mehrere Dokumente mit Zusagen der US-Regierung.

Der Privacy Shield sieht folgende Kernpunkte vor, welche zur Verbesserung des Datenschutzes beitragen sollen:

• –
  US-Unternehmen, die nach der Zertifizierung personenbezogene Daten verarbeiten dürfen, müssen strengere Auflagen einhalten. Neu bestehen besondere Informationspflichten («Notice»), ein Opt-Out-Recht der betroffenen Personen («Choice»), Anforderungen betreffend Weitergabe von Personendaten («Onward Transfer»), Auflagen zur Datensicherheit, Regeln über die Verhältnismässigkeit, Zweckbindung und Datenqualität bei der Datenerhebung, Grundsatzbestimmungen über das Auskunftsrecht der betroffenen Personen und zum Rechtsschutz. «Supplemental Principles» enthalten sodann Vorgaben zu besonders schützenswerten Personendaten, zur Haftung von Infrastrukturanbietern, zur Kooperation mit den EU-Datenschutzbehörden, vorzulegende Informationen und Nachweise für die Zertifizierung, die Detailvorgaben zum Auskunftsrecht, zu den Daten von Arbeitnehmern sowie zur Weitergabe von Daten und zum Rechtsschutz inklusive Schiedsverfahren.
• –
  Die Einhaltung der Auflagen der US-Unternehmen soll künftig besser kontrolliert und durchgesetzt werden. Das US-Handelsministerium wird überwachen, dass die US-Datenempfänger ihre Verpflichtungen publizieren. Die Federal Trade Commission (FTC) soll sodann die Einhaltung der Auflagen kontrollieren. Für Verstösse sind Sanktionen vorgesehen, fehlbare Firmen können von der Liste der zertifizierten Unternehmen gestrichen werden. Empfänger von europäischen Arbeitnehmerdaten müssen sich zudem verpflichten, die Entscheidungen der europäischen Datenschutzaufsichtsbehörden zu befolgen. Zudem hat die Federal Trade Commission (FTC) versprochen, Beschwerden von EU-Mitgliedstaaten prioritär zu behandeln. Im Fall einer Beschwerde oder von Amts wegen kann die Federal Trade Commission (FTC) Abklärungen treffen, formelle Untersuchungen eröffnen und Amtshilfe leisten.
• –
  Beim Zugriff auf Daten durch US-Behörden sind neue Schutzvorkehrungen und gewisse Transparenzpflichten vorgesehen. In diesem Zusammenhang weist die amerikanische Seite darauf hin, dass weitere Bestimmungen des US-Rechts die Bürger vor übermässigen Behördenzugriffen schützen wie beispielsweise das Verbot von «unfair or deceptive acts or practices», der «Computer Fraud and Abuse Act», der «Electronic Communications Privacy Act», der «Right to Financial Privacy Act» und der «Freedom of Information Act». Ferner stehe es auch Personen ausserhalb der USA frei, Ansprüche gegen Mitglieder von US-Behörden wegen widerrechtlichen Überwachungstätigkeiten vor dem FISA-Gericht durchzusetzen, inklusive strafrechtlicher Verantwortlichkeit der betroffenen Beamten. Wenn durch Überwachungsmassnahmen gewonnene Daten widerrechtlich und absichtlich gebraucht oder bekannt gegeben werden, haften die USA für den Schaden und die Verfahrenskosten. Zudem werden eine Ombudsperson eingesetzt und ein Koordinationsverfahren geschaffen, was die Behandlung von Anfragen aus der EU betreffend Datenzugriffen der US-Sicherheitsbehörden erleichtern soll.

|Die Kommission kommt im Entwurf der Angemessenheitsentscheidung zum Ergebnis, dass der Privacy Shield den Vorhaben des EuGH im Urteil i.S. Schrems entspreche. Ob dies tatsächlich zutrifft, ist heute allerdings offen, wie die folgende erste Gegenüberstellung der einzelnen Kritikpunkte des Urteils und des Privacy Shield zeigt.

Der EuGH kritisierte am Safe-Harbor-Abkommen, dass dieses nur die Unternehmen selbst bindet, die sich dem Abkommen unterstellt haben, nicht aber die amerikanischen Behörden.

Dieser Punkt ändert sich durch den Privacy Shield nicht. Auch der Privacy Shield bindet nur die ihm unterstellten Unternehmen. Verschiedene US-Behörden haben im Rahmen des Privacy Shield zwar Zusagen gemacht. Diese Zusagen werden offenbar auch im US Federal Register publiziert. Ob und inwiefern diese Zusagen und die Publikation künftige US-Regierungen zu binden vermögen, wird jedoch nicht erläutert.

Der Vorwurf der mangelnden Bindung staatlicher Behörden betrifft jedoch nicht nur Datenübermittlungen in die USA. Zudem vermögen auch andere Datenübermittlungsgrundlagen wie Konzerndatenschutzregeln oder Standardvertragsklauseln staatliche Behörden nicht zu binden. Dieser «Mangel», wenn man diesen Ausdruck überhaupt verwenden will, ist also systemimmanent und kann ohne eine Überarbeitung der Richtlinie nicht ausgeräumt werden.

Der EuGH kritisierte sodann, dass zertifizierte Unternehmen an entgegenstehendes inneramerikanisches Recht gebunden bleiben, das den Schutz des Safe-Harbor-Abkommens deshalb unterlaufen kann.

Auch dieser Punkt ändert sich mit dem Privacy Shield nicht. Allerdings ist im Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (nachfolgend «Konvention 108») vorgesehen, dass bestimmte datenschutzrechtliche Grundsätze durch das Recht einer Vertragspartei eingeschränkt werden dürfen, soweit dies auf verhältnismässige Weise erfolgt und notwendig ist zum Schutz bestimmter Güter, namentlich der nationalen Sicherheit. Der Vorbehalt des nationalen Rechts, den auch Mitgliedstaaten der EU kennen, sollte ein Abkommen zum Datenschutz – und daher auch die Anerkennung der Gleichwertigkeit eines nationalen Rechts – nicht grundsätzlich infrage stellen.

Der EuGH stellte weiter fest, dass die Kommission bei ihrer Entscheidung nicht geprüft hatte, ob US-amerikanische Rechtsvorschriften Grundrechtseingriffe angemessen begrenzen. Diese Bedenken dürften auch für den Privacy Shield gelten. Insbesondere behalten sich die USA Massenüberwachungsmassnahmen vor, wenn auch nur zu bestimmten Zwecken, beispielsweise um terroristische Bedrohungen zu erkennen und abzuwehren. Dass der Vorwurf der fehlenden angemessenen Begrenzung der Grundrechtseingriffe dadurch entkräftet wird, ist unwahrscheinlich. Auch beruht die Begrenzung der Massenüberwachung auf einer Anweisung des Präsidenten, die sich ändern lässt und deren Fortbestand auch vom Ausgang der kommenden Wahlen in den USA abhängen dürfte.

Schliesslich kritisierte der EuGH, dass die Kommission nicht festgestellt hat, ob die US-amerikanischen Rechtsvorschriften einen wirksamen gerichtlichen Rechtsschutz vermitteln.

In diesem Punkt sehen die «Principles» des Privacy Shield vor, dass die zertifizierten Firmen Beschwerden innerhalb einer Frist von 45 Tagen behandeln müssen und dass sich Unternehmen verpflichten, sich auf Schiedsverfahren mit betroffenen EU-Bürgern einzulassen. Zudem können europäische Datenschutzaufsichtsbehörden |Beschwerden dem US-Handelsministerium und der Federal Trade Commission (FTC) weiterleiten. Schliesslich wird für Vorwürfe von Eingriffen im Interesse der nationalen Sicherheit eine Ombudsstelle geschaffen, die allerdings nur koordinative Funktion hat und beispielsweise Vorwürfe überschiessender Überwachungstätigkeiten an die zuständige amerikanische Behörde weiterzuleiten hat.

Auch in diesem Punkt ist noch kaum eine verlässliche Aussage über die Belastbarkeit des Privacy Shield möglich. Auch die Bedeutung des «Judicial Redress Act», der inzwischen den amerikanischen Senat und den Kongress passiert hat und die Voraussetzungen schaffen soll, ausländischen Bürgern für Ansprüche gegen US-Behörden unter bestimmten Umständen den Zugang zu US-Gerichten zu öffnen, ist noch unklar.

Anders als Safe Harbor sieht der Privacy Shield eine jährliche Überprüfung durch beide Vertragsparteien vor. Zu diesem Monitoring-Prozess werden neben den europäischen Datenschutzbehörden auch die US-Geheimdienste Zugang haben.

Zumindest in diesem Punkt sollte der Privacy Shield also eine Verbesserung bringen. Allerdings ist das Vorgehen unklar, wenn sich die beiden Seiten nicht darüber einig werden, ob und wie neue Umstände zu berücksichtigen sind.

Die Dokumentation zum Privacy Shield wird nun der Artikel-29-Datenschutzgruppe und Vertretern der EU-Mitgliedstaaten zur Konsultation vorgelegt. Die definitive Feststellung der Angemessenheit obliegt schliesslich der Kommission und folgt den dafür geltenden Regeln.

Seitens der USA ist geplant, in der Zwischenzeit die notwendigen Vorkehrungen zur Einrichtung des neuen Rahmens, der neuen Überwachungsmechanismen und der neuen Ombudsstelle zu treffen.

Der Privacy Shield verspricht Verbesserungen im Bereich Datenschutz. Zu begrüssen sind insbesondere die Verschärfung der für unterstellte Unternehmen geltenden Regeln und die Durchsetzungsmechanismen mit Beschwerdemöglichkeiten für Betroffene. Ob der Rechtsschutz bei Eingriffen der Behörden im Interesse der nationalen Sicherheit durch die Ombudsstelle effektiv gewährleistet werden kann, scheint hingegen fraglich. Sämtliche Kritikpunkte des EuGH können mit dem Privacy Shield jedenfalls kaum beseitigt werden. Zwar sind gewisse der verbleibenden Mängel systemimmanent, nämlich in der Richtlinie selbst angelegt. Dennoch kann nicht ausgeschlossen werden, dass der EuGH auch den Privacy Shield als unzureichend beurteilen wird.

Ob die Zahl der zertifizierten Unternehmen unter diesen Umständen jemals wieder so hoch wird wie zuvor unter dem Safe-Harbor-Abkommen, ist daher ungewiss und von den weiteren Entwicklungen in den nächsten Wochen und Monaten abhängig.

Das Safe-Harbor-Abkommen kann Datenübermittlungen in die USA kaum mehr rechtfertigen. Zurzeit ist hingegen davon auszugehen, dass die weiteren Grundlagen zur Übermittlung von Personendaten in Länder ohne angemessenes Datenschutzniveau weiterhin gelten und Datenübermittlungen auch in die USA rechtfertigen können. Hierzu bietet sich vor allem der Abschluss eines Vertrages gemäss den EU-Standardvertragsklauseln an, weil sich diese in der Praxis bewährt haben |und ohne aufwendiges Genehmigungsverfahren implementiert werden können. Bei den Konzerndatenschutzregeln ist demgegenüber zu beachten, dass manche europäische Aufsichtsbehörden zurzeit keine entsprechenden Genehmigungen erteilen.

Davon unabhängig darf man das Urteil des EuGH aber nicht nur in einem datenschutz- sowie einem grundrechtlichen, sondern auch in einem wirtschaftspolitischen Kontext lesen. Die Erschwerung der Datenübermittlung in die USA – nicht zuletzt durch eine Erschütterung des Vertrauens – dürfte nämlich die Wirkung haben, den europäischen Raum als Datenstandort zu stärken. Europäische Unternehmen werden künftig versuchen, Alternativen zum Datentransfer in die USA zu finden. Amerikanische Firmen wie beispielsweise Facebook bauen deshalb neue Rechenzentren in Europa. Allerdings versuchen die US-Justizbehörden sogar auf Daten von US-Unternehmen zuzugreifen, die ausserhalb der USA gespeichert werden.

Wie das europäische Datenschutzrecht erlaubt auch das schweizerische Recht eine Bekanntgabe von Personendaten ins Ausland nur dann, wenn diese Bekanntgabe nicht zu einer schwerwiegenden Gefährdung der Persönlichkeit führt. Eine solche Gefährdung wird fingiert, wenn im Empfängerstaat ein angemessenes Schutzniveau fehlt. Dafür ist – im Sinne einer Vermutung – von der Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (nachfolgend «EDÖB») auszugehen. Fehlt im Zielland ein angemessener Schutz, ist eine Übermittlung deshalb nur in den vom Gesetz in Art. 6 Abs. 2 DSG abschliessend aufgeführten Fällen zulässig. Dazu gehören insbesondere hinreichende Garantien des Datenempfängers, in der Praxis zumeist in Datenübermittlungsverträgen (insbesondere in der Form der anerkannten Musterverträge, beispielsweise der EU-Standardvertragsklauseln).

Die Schweiz hat mit den USA ebenfalls ein Safe-Harbor-Abkommen geschlossen, das dem europäischen Abkommen weitgehend entspricht. In der Folge haben sich fast 4000 Unternehmen nach den Safe-Harbor-Grundsätzen der Schweiz zertifiziert. Gestützt auf das Schweizer Safe-Harbor-Abkommen war davon auszugehen, dass das US-Recht für zertifizierte Unternehmen ein angemessenes Schutzniveau i.S.v. Art. 6 Abs. 1 DSG bietet, und zwar für Personendaten natürlicher wie auch juristischer Personen. Massnahmen gemäss Art. 6 Abs. 2 DSG (Gründe für die ausnahmsweise Übermittlung trotz fehlendem angemessenem Datenschutzniveau) waren daher für solche Übermittlungen nicht erforderlich.

Der EDÖB hat sich wiederholt zum Urteil geäussert. In einer ersten Stellungnahme hielt er am 7. Oktober 2016 fest, dass durch das Urteil auch das Abkommen zwischen der Schweiz und den USA infrage gestellt sei und Daten daher wenn immer möglich im europäischen Raum gespeichert werden sollten und dass bei Datenübermittlungen in die USA «Zusatzvereinbarungen zum besseren Schutz der betroffenen Personen und ihrer Daten» getroffen werden müssen.

Am 14. Oktober hat der EDÖB sodann dem Bundesrat empfohlen, das Schweizer Safe-Harbor-Abkommen mit |den USA zu kündigen oder wenigstens zu sistieren. Begründet wird dies einerseits mit der fehlenden Vereinbarkeit des Schweizer Safe-Harbor-Abkommens mit dem Recht auf Privatsphäre, aber vor allem auch mit der Sorge, dass das schweizerische Datenschutzniveau aus Sicht der EU andernfalls nicht mehr anmessen sein könnte. Die bereits erwähnte Staatenliste wurde zudem entsprechend angepasst.

Am 22. Oktober 2015 veröffentlichte der EDÖB auf seiner Webseite eine etwas umfassendere Stellungnahme mit den folgenden Kernpunkten:

• –
  Das Safe-Harbor-Abkommen biete keine Grundlage mehr für Übermittlungen von Personendaten in die USA.
• –
  Bis Ende Januar 2016 seien beim Datenaustausch mit US-Unternehmen Datenübermittlungsverträge bzw. -klauseln zu vereinbaren.
• –
  Zudem seien betroffene Personen «klar und umfassend über die möglichen Behördenzugriffe» zu informieren, damit diese ihre Rechte wahrnehmen können.
• –
  Der schweizerische Datenexporteur und der US-amerikanische Importeur hätten sich zudem zu verpflichten, «betroffenen Personen die für einen wirksamen Rechtsschutz notwendigen Behelfe zur Verfügung zu stellen, entsprechende Verfahren tatsächlich durchzuführen und darauf ergehende Urteile zu akzeptieren».

Schliesslich sah sich der EDÖB unter anderem durch kritische Reaktionen veranlasst, eine weitere Stellungnahme zu veröffentlichen. Darin hielt er fest:

• –
  Neben Datenübermittlungsverträgen stehen die weiteren Massnahmen von Art. 6 Abs. 2 DSG ebenfalls offen für Übermittlungen von Personendaten in die USA. Ob die EU-Standardvertragsklauseln weiterhin verwendet werden dürften, werde aktuell gesamteuropäisch geprüft.
• –
  Bis Ende Januar 2016 würden zudem keine Untersuchungen durchgeführt.
• –
  Betroffene Personen müssten in genereller Weise (bei regelmässigen oder wiederholten Übermittlungen einmal vor der ersten Übermittlung und nicht bei jeder einzelnen Übermittlung) darüber informiert werden, dass die US-Behörden auf die Daten zugreifen können.
• –
  Der schweizerische Datenexporteur und der US-amerikanische Importeur seien verpflichtet, «betroffene Personen bei der Geltendmachung ihrer Rechte gegenüber ausländischen Behörden […] zu unterstützen und bei hängigen Verfahren in der Schweiz geplante Datenlieferungen aufzuschieben resp. bereits stattfindende einstweilen auszusetzen». Dabei lehnt sich der EDÖB ausdrücklich an seine Vorgaben für die Übermittlung von Bankmitarbeiterdaten in die USA an.

Obwohl das Safe-Harbor-Abkommen der Schweiz bisher weder gekündigt noch sistiert wurde und sich Unternehmen an und für sich weiterhin darauf berufen könnten, ist in der Praxis nicht zu empfehlen, das Abkommen als Grundlage für weitere Datenübermittlungen in die USA beizuziehen.

Alle weiteren Massnahmen nach Art. 6 Abs. 2 DSG können Datentransfers in die USA aber weiterhin rechtfertigen. Dies gilt – gemäss überwiegender Lehrmeinung – auch für die EU-Standardvertragsklauseln. Mehrere Safe-Harbor-zertifizierte US-Dienstleister haben ihren schweizerischen Kunden denn auch angeboten, EU-Standardvertragsklauseln abzuschliessen, so etwa Salesforce oder Mailchimp.

Die Forderungen des EDÖB nach einer besonderen Transparenzpflicht bei Datenübermittlungen in die USA und nach zusätzlichen Rechtsschutzpflichten sind gleichermassen umstritten. Stellungnahmen des EDÖB sind für private Firmen zudem nicht verbindlich. David Rosenthal und Barbara Kaiser vertreten mit überzeugenden |Argumenten die Auffassung, dass weder eine besondere Informationspflicht besteht noch Zusatzklauseln zu vereinbaren sind. Auch aus Praktikabilitätsgründen wird der vom EDÖB geforderten besonderen Transparenzpflicht daher höchstens bei der Datenübermittlung in konkreten Einzelfällen nachgelebt oder vielleicht im Rahmen einer ohnehin geplanten AGB-Revision. Eine Ergänzung von Datenübermittlungsvereinbarungen ist vielfach ebenfalls nicht praktikabel.

Zusammenfassend gilt für die Schweiz deshalb nach unserer Auffassung, dass schweizerische Datenexporteure im Wesentlichen gleich vorzugehen haben wie europäische Exporteure. Ihnen stehen sämtliche weiteren Massnahmen nach Art. 6 Abs. 2 DSG zur Verfügung, wobei sich in der Praxis die EU-Standardvertragsklauseln am einfachsten umsetzen lassen. Zudem ist zu erwarten, dass die Zusagen der USA auch an die Adresse der Schweiz erfolgen und die Schweiz damit erneut ein paralleles Datenschutzabkommen erreichen wird, ein CH-EU Privacy Shield.

Zusammenfassung

Zusammenfassung

Das hier diskutierte Urteil ist ein weiterer Meilenstein in der datenschutzrechtlichen Rechtsprechung des EuGH nach den Entscheiden zur Vorratsdatenspeicherung und zum Recht auf Vergessen. Der EuGH hielt fest, dass ein Land (wie hier die USA), das die Speicherung sämtlicher personenbezogener Daten erlaubt, dem nationalen Recht Vorrang einräumt, Zugriffe von Behörden nicht beschränkt und keinen Rechtsschutz zur Verfügung stellt, aus europäischer Warte kein angemessenes Datenschutzniveau hat. Infolgedessen hob es den Entscheid der EU-Kommission auf, der das Safe-Harbor-Abkommen als angemessen anerkannt hatte. Vorläufig sind für Datenübermittlungen in die USA deshalb andere Grundlagen wie beispielsweise Datenübermittlungsverträge erforderlich. Dies gilt nicht nur für Datenübermittlungen aus der EU, sondern auch für solche aus der Schweiz.

In der Folge des Urteils kam es zu einer Einigung zwischen der EU und den USA über einen verbesserten Nachfolger des Safe-Harbor-Abkommen mit dem Titel «EU-US Privacy Shield». Nach einer ersten Auswertung der Dokumentation zum Privacy Shield scheint es heute allerdings zweifelhaft, ob damit allen wesentlichen Kritikpunkten des EuGH begegnet werden kann. Für eine abschliessende Stellungnahme sind die weiteren Entwicklungen abzuwarten.

Resumé

Résumé

La décision discutée dans la présente contribution constitue une nouvelle étape dans la jurisprudence de la CJUE relative à la protection des données, après les décisions concernant la conservation des données et le droit à l’oubli. La CJUE a jugé qu’un pays (comme en l’espèce les États-Unis) qui autorise l’enregistrement de toutes les données personnelles, qui prévoit la primauté du droit national, qui ne limite pas l’accès des autorités et qui ne prévoit aucune protection juridique, ne confère pas de protection suffisante aux données du point de vue européen.

C’est pour ces raisons que la CJUE a annulé la décision de la Commission européenne, qui avait considéré l’accord relatif au Safe-Harbor comme approprié. Pour le moment, le transfert de données vers les USA doit donc se baser sur d’autre fondements, tels que par exemple des accords sur la transmission de données. Cela ne vaut pas uniquement pour les transmissions de données depuis l’Union européenne, mais également pour celles en provenance de la Suisse.

La décision a permis à l’UE et aux USA de se mettre d’accord sur une version améliorée de l’Accord Safe-Harbor, le «EU-US Privacy Shield». Après un premier examen de la documentation relative au Privacy Shield, on peut toutefois douter que ce dernier ait pu corriger les principaux points de critiques formulés par la CJUE. Il faut attendre les développements futurs avant de pouvoir prendre position de façon définitive.