EUGH kippt EU-US Privacy Shield EUGH kippt EU-US Privacy Shield

Am 16. Juli 2020 hat der Europäische Gerichtshof (EUGH) entschieden, dass die Anerkennung der EU-Kommission des Privacy Shields Abkommens zwischen den USA und der EU als gleichwertiger Datenschutz gemäss Art. 45 Abs. 1 Datenschutzgrundverordnung (DSGVO) widerspricht und somit ungültig ist. 

Dieser Entscheid hat Auswirkungen auf Unternehmen in der Schweiz. Wir zeigen auf, welche Vorkehrungen Unternehmen jetzt zu treffen haben.

Dieser Entscheid hat unmittelbar zur Folge, dass eine Verarbeitung von Personendaten von Unternehmen aus der EU in den USA gestützt auf dem Privacy Shield nicht mehr möglich ist. Das Gericht erinnert jedoch daran, dass grundsätzlich die anderen in der DSGVO genannte Garantien (insbesondere Art. 45 Abs. 3 und Art. 46) ihre Rechtsgültigkeit behalten.

Schweizer Unternehmen, die nicht der DSGVO unterstehen, sind von diesem Entscheid nicht direkt betroffen, denn die Schweizer Anerkennung des Privacy Shield ist nicht unmittelbar von diesem Entscheid tangiert. Diese Anerkennung bleibt vorerst rechtsgültig. Es muss jedoch damit gerechnet werden, dass die Schweizer Behörden dem Entscheid des EUGH bald folgen werden. Letzteres insbesondere weil die Schweiz zur Zeit bestrebt ist, alles zu unternehmen, um die Anerkennung des anstehenden revidierten Datenschutzgesetzes mit der DSGVO nicht zu gefährden.

Schweizer Unternehmen, die dem DSGVO unterstehen, insbesondere weil sie Waren und Dienstleistungen in der EU anbieten, und dabei Personendaten von EU domizilierten Personen verarbeiten, sind jedoch auch unmittelbar vom Entscheid betroffen.

Schweizer Unternehmen sollten prüfen 1) ob sie Personendaten in den USA verarbeiten und 2) auf welcher gesetzlichen Grundlage sie dies tun.

Werden Personendaten in den USA verarbeitet und basiert der Transfer der Daten in die USA auf der Privacy Shield Regelung, so muss im Anwendungsbereich der DSGVO unmittelbar und im Anwendungsbereich des Schweizer Datenschutzgesetzes innert nützlicher Frist die Datenverarbeitung auf eine neue Grundlage gestellt werden. Kurzfristig ist die Verwendung der vertraglichen Bestimmungen «EU Model Clauses» zu empfehlen, denn diese sind vom EUGH im gleichen Entscheid bestätigt worden.

Aufhorchen lässt die Anmerkung im EUGH Entscheid, dass die nationalen Aufsichtsbehörden die Verwendung von «EU Model Clauses» als ungenügend erachten dürfen, haben die Aufsichtsbehörden begründete Zweifel, dass die in den «EU Model Clauses» gemachten Zusicherungen auch durchsetzbar sind. Es besteht somit die nicht zu unterschätzende Gefahr, dass zumindest in gewissen Ländern der EU auch diese rechtliche Grundlage für eine Personendatenverarbeitung in den USA wegfallen wird.

Sehr viele US-Unternehmen, die Personendaten für Schweizer und Europäische Unternehmen verarbeiten, bieten heute schon an, dass die Verarbeitung der Personendaten auch auf Europäischen Servern erfolgen kann. Solche Optionen sind ernsthaft zu prüfen. Auch beim Einkauf neuer Systeme ist auf eine Verarbeitung von Personendaten in einem Land mit adäquaten Datenschutz zur Europäischen Regelung zu achten – bzw. dürfen die Personendaten mindestens nicht der (vermeintlichen) Willkür lokaler Behörden ausgesetzt werden.