"EU Safe Harbor" ungültig was gilt in der Schweiz? Wie US-Exporte von Personendaten zulässig bleiben

Transkript

1 1 6 "EU Safe Harbor" ungültig was gilt in der Schweiz? Wie US-Exporte von Personendaten zulässig bleiben Viele Unternehmen, nicht nur im EU-Raum, sondern auch in der Schweiz vertrauen beim Datentransfer von Personendaten in die USA heute auf das Datenschutzabkommen "Safe Harbor". Die Ungültigkeitserklärung des Abkommens durch den EuGH führt nun zu vielen offenen Fragen: Welche Auswirkungen hat das Urteil auf die Schweiz? Ist das "Safe Harbor" Abkommen zwischen der Schweiz und der USA noch gültig? Wie müssen Schweizer Unternehmen reagieren? Dieser Beitrag gibt Antworten und praktische Empfehlungen. Am 6. Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) das von der Europäischen Kommission genehmigte Datenschutzabkommen "Safe Harbor" (zu Deutsch: Sicherer Hafen) zwischen der EU und den USA für ungültig (EU Safe Harbor Abkommen). Im Juli 2000 hatte die Europäische Kommission entschieden, dass das EU Safe Harbor Abkommen eine genügende gesetzliche Grundlage bildet für die rechtmässige Bekanntgabe von Personendaten von der EU an einen Empfänger mit Sitz in den USA, welcher sich vorab freiwillig den Regeln des Abkommens unterworfen hat. Im Jahr 2008 schloss die Schweiz mit den USA ein separates Abkommen (Schweizer Safe Harbor Abkommen), dessen Inhalt mit dem europäischen Vorbild aber praktisch identisch ist. Die Bedeutung von Safe Harbor Gemäss beiden Abkommen können US- Unternehmen sich selbst zertifizieren und damit nach US-Recht verpflichten, die im Abkommen festgehaltenen Bearbeitungsgrundsätze einzuhalten. Dadurch erklärt das zertifizierte Unternehmen, einen angemessenen Schutz von Personendaten im Sinne von Art. 6 Abs. 1 des Bundesgesetzes über den Datenschutz (DSG) auch in den USA zu gewährleisten. Über 5000 US-Unternehmen machten von dieser Möglichkeit bereits Gebrauch. Das Hauptziel des Abkommens war die Vereinfachung der Einhaltung datenschutzrechtlicher Grundsätze auch über die Grenzen Europas hinaus: Obschon die Gesetzgebung der USA keinen angemessenen Datenschutz gewährleistet, ermöglichte das Abkommen den freien Datentransfer zwischen einem Schweizer Unternehmen und einem zertifizierten US-Unternehmen, ohne dass die Parteien diesen vorab vertraglich oder auf eine andere Weise den gesetzlichen Vorgaben von Art. 6 DSG entsprechend regeln mussten.

2 2 6 Obschon die vertragliche Regelung des grenzüberschreitenden Datentransfers dank der von der Europäischen Kommission genehmigten und in der Schweiz gleichsam anwendbaren Standardvertragsklauseln (EU Model Clauses) keine besonderen Schwierigkeiten bereitet, stützen sich viele Parteien dennoch auf das Schweizer Safe Harbor Abkommen, weil der damit verbundene administrative Aufwand, etwa wegen der fehlenden Informationspflicht (Art. 6 Abs. 3 DSG), geringer ist. Aus diesem Grund ist das EU wie auch das Schweizer Safe Harbor Abkommen bei US-Unternehmen, die für ihre Europäischen Kunden Online-, IT- und andere Dienstleistungen anbieten und zu diesem Zwecke deren Daten in den USA bearbeiten müssen, besonders beliebt. Die Auswirkungen des EuGH-Urteils Die Ungültigkeitserklärung des EU Safe Harbor Abkommens durch den EuGH bedeutet für Unternehmen im EU-Raum, dass das Abkommen ab sofort im Grunde keine gesetzlich legitimierte Grundlage für den Datentransfer in die USA mehr bildet. Das Urteil hat jedoch in all jenen Fällen keine unmittelbaren Auswirkungen, in denen der Datentransfer auf Basis von bilateralen respektive multilateralen Datenschutzverträgen, verbindlichen unternehmensinternen Vorschriften (sog. Binding Corporate Rules) oder auf der Grundlage eines anderen hinreichenden Rechtfertigungsgrundes erfolgt. Diejenigen Unternehmen, welche ihre Daten ausschliesslich gestützt auf das EU Safe Harbor Abkommen in die USA transferiert haben, sind allerdings gezwungen, einen angemessenen Datenschutz nunmehr mittels EU Model Clauses oder Binding Corporate Rules zu gewährleisten. Ansonsten drohen ihnen zumindest in einigen EU- Mitgliedstaaten Strafzahlungen. Aus Schweizer Sicht sind demgegenüber in der Regel keine sofortigen Anpassungen notwendig. Weder erklärt das EuGH-Urteil das Schweizer Safe Harbor Abkommen direkt für ungültig, noch werden die Schweizer Behörden dieses nun kündigen oder aussetzen. Die Begründung für die Ungültigkeitserklärung des EU Safe Harbor Abkommens ist sodann auch nicht neu: Der EuGH befand, dass die Europäische Kommission im Rahmen ihrer Entscheidung im Jahr 2000 nicht ausreichend berücksichtigt habe, ob die US-Gesetzgebung einen ausreichenden Schutz vor Zugriffsmöglichkeiten von US-Behörden auf Personendaten, welche aus der EU stammen und von US-Unternehmen bearbeitet werden, biete. Er argumentierte weiter, dass das EU Safe Harbor Abkommen lediglich den US- Unternehmen den datenschutzwidrigen Umgang untersage, die US-Behörden sich jedoch weiterhin uneingeschränkt Zugriff auf dieselben Daten verschaffen können. Bereits seit 2013, ausgelöst von der Enthüllungsaffäre des ehemaligen NSA-Mitarbeiters Edward Snowden, verhandelt die Europäische Kommission mit der US-Regierung über eine Neuauflage des (nun für ungültig erklärten) EU Safe Harbor Abkommens mit dem Ziel, von der US-Regierung in exakt denjenigen Punkten ein Entgegenkommen zu bewirken, welche nun im EuGH-Urteil kritisiert worden sind. Bisher verliefen die Verhandlungen jedoch ohne grossen Erfolg. Das EuGH-Urteil könnte daher in diesem Punkt den Verhandlungsdruck auf der Seite der Europäischen Kommission entscheidend erhöhen. Gute Chancen für ein verbessertes Safe Harbor Abkommen Wir gehen davon aus, dass sich die Europäische Kommission mit der US-Regierung in naher Zukunft auf eine Neufassung des EU Safe Harbor Abkommens einigen wird. Wie bereits in der Vergangenheit mehrfach vorgekommen (bspw. im Zusammenhang mit der SWIFT-Affäre oder den Flugpassagierdaten), werden die USA Eingeständnisse hinsichtlich eines verbesserten Schutzes von EU-Personendaten vor dem Zugriff und der Verwendung der Daten durch die US-Regierung machen müssen. Wir erwarten, dass die Schweizer Regierung und der Eidgenössische Daten-

3 3 6 schutz- und Öffentlichkeitsbeauftragte (EDÖB) die USA um eine entsprechende Anpassung des Schweizer Safe Harbor Abkommens ersuchen wird. Wie der EDÖB bereits öffentlich bekannt gab, ist aus seiner Sicht nur ein international koordiniertes Vorgehen zielführend. Verbleibende Unsicherheit auch in der Schweiz Bis Klarheit über die aktuelle Situation herrscht, wird auch aus Schweizer Sicht eine gewisse rechtliche Unsicherheit bestehen bleiben. Dies zeigen mitunter die unzähligen Anfragen von Klienten, welche uns in den letzten Tagen erreicht haben. Obschon das Schweizer Safe Harbor Abkommen zurzeit weder ausser Kraft gesetzt noch widerrufen wurde, stellt das EuGH-Urteil dennoch die Angemessenheit des Schutzes von Personendaten unter dem heutigen Abkommen in Frage (vgl. nachfolgend unsere Empfehlungen). Es sprechen gute Gründe dafür, dass das Schweizer Safe Harbor Abkommen nach wie vor einen angemessenen Schutz von Personendaten gewährleistet. Denn die gleichen Argumente mit denen der EuGH das EU Safe Harbor Abkommen für ungültig erklärt hat, lassen sich auch auf jede andere vertragliche Vereinbarung, wie z.b. auch auf die EU Model Clauses, übertragen. Wir können nicht nachvollziehen, weshalb ein vertraglich verpflichtetes US-Unternehmen die betroffenen Personendaten grundsätzlich besser vor einem nach US-Recht vorgesehenen Zugriff der US-Regierung schützen kann als ein gemäss Safe Harbor Abkommen zertifiziertes Unternehmen. Das DSG und die dazugehörige Datenschutzverordnung statuieren sodann explizit, dass durch vertragliche Vereinbarungen ein angemessener Schutz von Personendaten, welche ins Ausland mithin auch in die USA transferiert werden, gewährleistet werden kann. Das Gleiche gilt auch nach EU-Recht. Davon ausgehend, dass niemand ernsthaft das Ziel verfolgt, sämtliche Datentransfers in die USA zu unterbinden, sind die Argumente des EuGH in erster Linie formeller Natur und weniger auf den eigentlichen Inhalt des Datenschutzes ausgerichtet: Die Europäische Kommission hat sich bei der Genehmigung des EU Safe Harbor Abkommens auf Art. 25 der EU-Datenschutzrichtlinie 95/46/EG gestützt. Dieser erlaubt grenzüberschreitende Datentransfers mit weniger Formalitäten, stellt jedoch an die Genehmigung durch die Kommission inhaltlich höhere Anforderungen als Art. 26 der EU- Datenschutzrichtlinie im Zusammenhang mit der Genehmigung von EU Model Clauses. Dennoch ist der daraus resultierende Schutz von Personendaten in den USA in beiden Fällen als gleichwertig einzustufen. Auch im Schweizer Datenschutzrecht gibt es eine entsprechende Differenzierung: Der Transfer von Personendaten in die USA unter dem Schweizer Safe Harbor Abkommen ist gemäss Art. 6 Abs. 1 DSG zulässig, während sich der Datentransfer auf vertraglicher Grundlage auf Art. 6 Abs. 2 lit. a DSG stützt. Folglich liesse sich die gegenwärtige Unsicherheit damit lösen, dass das Schweizer Safe Harbor Abkommen auf derselben rechtlichen Grundlage wie die EU Model Clauses angewendet wird. Diese Lösung ist nicht neu, sondern wurde bereits vor der Einführung des Schweizer Safe Harbor Abkommens im Jahr 2008 angewendet: Die US- Unternehmen verpflichteten sich gegenüber dem Datenexporteur vertraglich an das EU Safe Harbor Abkommen gebunden zu sein, was als angemessene Garantie im Sinne von Art. 6 Abs. 2 DSG galt. Selbst wenn man zum Schluss käme, dass das Schweizer Safe Harbor Abkommen keinen ausreichenden Schutz gemäss Art. 6 Abs. 1 DSG gewähren würde, kann die soeben skizzierte Lösung nach Art. 6 Abs. 2 lit. a DSG weiterhin als ausreichend qualifiziert werden. Es bleibt die Eigenverantwortung Nach Schweizer Recht hat stets der Inhaber der Datensammlung, also derjenige der die Daten ins Ausland übermittelt, sicherzustellen, dass die transferierten Personendaten tatsächlich auch

4 4 6 angemessenen geschützt sind und dies auch während der gesamten Zeit bleiben. Dies hatte trotz "Genehmigung" der EU Model Clauses und dem Schweizer Safe Harbor Abkommen seine Gültigkeit. Ebenso war es nach Schweizer Recht stets klar (anders als in der EU, was letztlich auch der Auslöser für das Verfahren vor dem EuGH war), dass die Liste derjenigen Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet (Art. 31 DSG) rechtlich unverbindlich ist. In der Praxis stellte jedoch kaum jemand diese Liste des EDÖB in Frage. Zudem hat sich der EDÖB bereits im Jahr 2008 bei der Ausarbeitung des Schweizer Safe Harbor Abkommens das Recht vorbehalten, einem Schweizer Unternehmen im konkreten Fall zu empfehlen, seinen grenzüberschreitenden Datentransfer an ein US- Unternehmen trotz dessen Zertifizierung unter dem Schweizer Safe Harbor Abkommens auszusetzen. Damit lässt sich sagen, dass das Schweizer Safe Harbor Abkommen zwar grundsätzlich eine ausreichende rechtliche Grundlage für den Datenexport in die USA darstellt, jedoch schon immer Ausnahmefälle denkbar waren. Der EDÖB wird nun von jedem Unternehmen eine einzelfallweise Beurteilung erwarten, ob das Schweizer Safe Harbor Abkommen in Bezug auf den betreffenden Datentransfer an ein US-Unternehmen einen ausreichenden Schutz bietet, oder ob allfällige Zusatzvereinbarungen notwendig werden. Die Schweiz wird sich der EU anpassen Allein der Umstand dass sich die US-Regierung aus Gründen der nationalen Sicherheit jederzeit rechtmässigen Zugriff auf persönliche Daten von US-Unternehmen verschaffen kann, muss nicht per se bedeuten, dass die Daten unzureichend geschützt sind. Das Übereinkommen 108 des Europarats, welches gemeinhin als Massstab für die Angemessenheit des Datenschutzes gilt (im EuGH-Urteil jedoch nicht berücksichtigt wurde), sieht vor, dass eine Abweichung von datenschutzrechtlichen Grundsätzen "zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit sowie der Währungsinteressen des Staates oder zur Bekämpfung von Straftaten" zulässig ist, "wenn sie durch das Recht der Vertragspartei vorgesehen und in einer demokratischen Gesellschaft eine notwendige Massnahme" ist. Es kann sodann angenommen werden, dass die Angemessenheitsprüfung des Schweizer Safe Harbor Abkommens in Bezug auf ein Unternehmen wie Facebook (auf welches sich das EuGH-Urteil bezieht) anders ausfällt als in Bezug auf ein Unternehmen, welches Daten für eine klinische Studie bearbeitet. Selbst bei der Verfolgung eines pragmatischen Ansatzes ist damit zu rechnen, dass die Schweiz letzten Endes den gleichen Weg wie die EU einschlagen wird. Dadurch beugt die Schweiz dem Risiko vor, dass die Europäische Kommission die hiesige Datenschutzgesetzgebung einzig wegen einer individuellen Haltung gegenüber dem Datenexport in die USA als unangemessen einstufen wird. Falls die Revisionsverhandlungen des EU Safe Harbor Abkommens und die mit dem EuGH- Urteil einhergehenden Unsicherheiten zu lange andauern, kann sich die Schweiz alsdann genötigt sehen, ihrerseits das Schweizer Safe Harbor Abkommen, zumindest hinsichtlich der in Art. 6 Abs. 1 DSG statuierten Angemessenheit, zu widerrufen oder auszusetzen. Unsere praktischen Empfehlungen Angesichts des EuGH-Urteils können wir verstehen, wenn sich auch Schweizer Unternehmen nicht länger auf das Schweizer Safe Harbor Abkommen verlassen wollen. Wir empfehlen Ihnen deshalb, wie folgt vorzugehen: Schweizer Unternehmen, die ihre Daten einem US-Unternehmen zur Auftragsdatenbearbeitung übertragen haben und sich hierbei auf das Schweizer Safe Harbor Abkommen stützen (z.b. ein US-Service Provider, welcher Daten im Auftrag eines Schweizer Unternehmens bearbeitet), erfüllen weiterhin die gesetzlichen Anforderungen und

5 5 6 müssen keine notwendigen Schritte einleiten, sofern sie die Auftragsdatenbearbeitung schon bisher rechtskonform ausgestaltet haben. Diese sog. Controller-Processor-Konstellation sind in der Praxis am häufigsten. Die Empfehlung basiert auf den folgenden Überlegungen: Das geltende Schweizer Recht (Art. 10a DSG) sieht bereits heute vor, dass vertragliche Bestimmungen die Verarbeitung personenbezogener Daten regeln müssen. Eine solche Regelung gewährt im Grundsatz das gleiche Schutzniveau wie die EU Model Clauses, welche für den Datentransfer vom Inhaber auf den Bearbeiter vorgesehen sind (Controller-Processor Clauses). Die Schutzwirkungen des Schweizer Safe Harbor Abkommens müssen folglich nicht mit EU Model Clauses oder einer anderen Datenschutzvereinbarung ergänzt werden. Diese Empfehlung steht sodann im Einklang mit der aktuellen Stellungnahme des EDÖB zum EuGH-Urteil, welche den Unternehmen zu ergänzenden vertraglichen Garantien rät. Solange der EDÖB das Schweizer Safe Harbor Abkommen nicht widerruft, besteht sodann auch keine Informationspflicht im Sinne von Art. 6 Abs. 3 DSG. Schweizer Unternehmen, die ihre Daten einem US-Unternehmen in der Funktion eines Datenverantwortlichen ("Controller") übertragen haben und sich hierbei auf das Schweizer Safe Harbor Abkommen stützen (z.b. konzerninterner Datentransfer), werden das Risiko beurteilen müssen, das davon ausgeht, dass die US-Behörden im Vergleich zu den Behörden in der Schweiz oder der EU umfassendere Kompetenzen haben, um auf diese an sich geschützten Daten zuzugreifen und diese auch zu nutzen. In den meisten Fällen wird dieses Risiko jedoch bereits aufgrund der Art der Daten nicht oder nicht wesentlich höher sein (bspw. bei HR-Daten, welche einem US- Schwesterunternehmen zur Verfügung gestellt werden). Besteht im Einzelfall ein ernstzunehmendes, erhöhtes Risiko, empfiehlt es sich zu prüfen, ob der Transfer der Daten nötig ist oder sich ggf. auch technische und organisatorische Schutzmassnahmen ergreifen lassen. Geht es nicht ohne Datenexport, fährt ein Unternehmen sicherer, wenn es aus formaler Sicht mit dem US-Unternehmen ergänzend EU Model Clauses abschliesst. Darin ist etwa geregelt, dass der Datenimporteur den - exporteur über jeden rechtmässigen Zugriffsversuch der Regierungsbehörden zu informieren hat. Hierbei gilt es anzumerken, dass sich solche Bestimmungen in der Praxis in vielen Standard- Geheimhaltungsklauseln herkömmlicher Verträge bereits finden und so auf diese Weise einen zum Schweizer Safe Harbor Abkommen zusätzlichen vertraglichen Schutz gewähren können, ohne dass weitere Schritte nötig sind. Falls die vorstehende Empfehlung nicht praktikabel scheint oder zu viel Zeit in Anspruch nehmen würde, das Schweizer Unternehmen es aber nicht einfach beim bestehenden System belassen will, sollte das US-Unternehmen um eine kurze Erklärung (in der Form eines Briefs) ersuchen, worin sich das US-Unternehmen vertraglich verpflichtet, das Schweizer Safe Harbor Abkommen für alle Daten aus der Schweiz einzuhalten. Eine solche Erklärung entspricht, wenn sie korrekt vorgenommen wird, den vertraglichen Garantien von Art. 6 Abs. 2 lit. a DSG und macht damit einen zusätzlichen Abschluss von EU Model Clauses oder Binding Corporate Rules entbehrlich. Diese vertragliche Verpflichtung muss allerdings nach Art. 6 Abs. 3 DSG dem EDÖB gemeldet werden, freilich nur, wenn und falls das Schweizer Safe Harbor Agreement widerrufen oder ausgesetzt werden sollte (da sonst formal weiterhin ein Export nach Art. 6 Abs. 1 DSG vorliegt). Wenn ein Schweizer Unternehmen beabsichtigt, ein neues Vertragsverhältnis mit einem US- Unternehmen einzugehen, raten wir jedoch aktuell davon ab, sich hierbei ausschliesslich auf das Schweizer Safe Harbor Abkommen zu verlassen.

6 6 6 Stattdessen empfehlen wir den Abschluss von EU Model Clauses oder die oben erwähnte Lösung im Zusammenhang mit der Übertragung von Daten zu reinen Bearbeitungszwecken (Controller-Processor Clauses). Es ist ohnehin zu erwarten, dass US- Service Provider im Lichte des EuGH-Urteils nicht mehr darauf beharren werden, dass das Schweizer Safe Harbor Abkommen ausreichenden Schutz gewährt. Gerne beraten wir Sie hinsichtlich Ihrer individuellen Situation, bewerten den aktuellen Transfer Ihrer Daten in die USA und helfen Ihnen bei allfälligen vertraglichen Anpassungen, damit Ihr Unternehmen die aktuelle Situation und die vom EuGH hervorgerufenen Unsicherheiten möglichst einfach und pragmatisch meistern wird. David Rosenthal Counsel, lic. Iur. david.rosenthal@homburger.ch T Practice Teams Intellectual Property Information Technology (IP IT) Competition Regulatory (CORE) Homburger AG Prime Tower Hardstrasse 201 CH-8005 Zurich P.O. Box 314 CH-8037 Zurich T F lawyers@homburger.ch Rechtlicher Hinweis Dieses Homburger Bulletin gibt allgemeine Ansichten der Autoren zum Zeitpunkt dieses Bulletins wieder, ohne dabei konkrete Fakten oder Umstände einer bestimmten Person oder Transaktion zu berücksichtigen. Es stellt keine Rechtsberatung dar. Das Bulletin darf von niemandem als Grundlage verwendet werden, gleichgültig für welchen Zweck. Jede Haftung für die Genauigkeit, Richtigkeit oder Angemessenheit der Inhalte dieses Homburger Bulletins ist ausdrücklich ausgeschlossen.