Der Schutzschild ist löcherig geworden
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat die USA von der Liste der Staaten mit «bedingt angemessenem Datenschutz» gestrichen. Das Schweizer Datenschutzgesetz kann im Datenaustausch mit oder über US-Anbietern nicht mehr eingehalten werden.
Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy-Shield-Abkommen zwischen der EU und den USA gestoppt. Dies vor dem Hintergrund, dass der damalige US-Präsident Donald Trump einen präsidialen Erlass zur «Verbesserung der öffentlichen Sicherheit» unterzeichnete. Dieser Erlass schliesst Nicht-US-Bürger von den Datenschutzbestimmungen (Privacy Act) weitestgehend aus und erteilt US-Nachrichtendiensten ausdrücklich die Erlaubnis, Daten zu erheben. Eine Datenübertragung an oder über US Konzerne, die mit europäischen Datenschutzgesetzten konform ist, ist daher nicht mehr möglich. Das gilt auch für die Schweiz, welche ein vergleichbares Privacy-Shield-Abkommen hat.
Überwachung läuft
«US-Überwachungsprogramme wie PRISM und UPSTREAM unterliegen weiterhin keiner einklagbaren Prüfung der Verhältnismässigkeit, wie dies die Datenschutzgesetze in Europa verlangen», hält Erik Schönenberger, Geschäftsleiter Digitale Gesellschaft Schweiz, in einem Artikel zum Privacy Shield fest. So weist beispielsweise das PRISM-Programm Anbieter von Internet-Diensten an, Geheimdiensten alle von einer bestimmten Person gesendeten und empfangenen Mitteilungen zur Verfügung zu stellen. Das kann auch Dateitransfer-Lösungen betreffen. Wenn Schweizer Personen oder Unternehmen Daten an ein Unternehmen liefern, das besonderen Zugriffen der lokalen Behörden unterworfen ist – wie dies in den USA der Fall ist – dann ist dies für die Prüfung der datenschutzrechtlichen Risiken sehr relevant.
Abkommen ist wirkungslos
Datenschützer kritisierten nach Trumps Entscheid, dass damit das Datenschutzabkommen mit den USA wirkungslos geworden sei. So hält der Arbeitskreis der deutschen Datenschutzkonferenz von Bund und Ländern (DSK) beispielsweise einen rechtskonformen Einsatz von Microsoft 365 und auch die Cloudnutzung OnDrive – insbesondere in öffentlichen Institutionen – datenschutzrechtlich für nicht regelkonform. «Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden», hielt die DSK fest. Wer weiterhin solche Daten in die USA übermitteln möchte, müsse die anderen geltenden Bestimmungen der Datenschutzverordnung einhalten. Angesichts der verfahrenen politischen Situation in den USA ist nicht davon auszugehen, das in naher Zukunft sich diese Situation verbessert und die US-Regierung und die EU-Kommission ein Nachfolgeabkommen für den Privacy-Shield aushandeln.
Schweizer Lösungen sind die bessere Garantie
Inzwischen hat auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte auf das Urteil des Europäischen Gerichtshofes reagiert. Er hat die USA von der Liste der Staaten mit «bedingt angemessenem Datenschutz» gestrichen. Das Privacy-Shield-Regime biete in der Schweiz «kein adäquates Schutzniveau für Datenbekanntgaben von der Schweiz an die USA», heisst es in der Begründung zu diesem Schritt. Mit anderen Worten: Das Bundesgesetz über den Datenschutz kann im Datenaustausch mit US-Anbietern nicht mehr eingehalten werden. Der Datenschützer hat in verschiedenen Berichten festgehalten, dass bei einem Datentransfer über US-Infrastruktur Rechtsansprüche die den Datenschutz betreffen, gegenüber US-Behörden nicht durchgesetzt werden können. Deshalb ist es in jedem Fall sicherer auf einen Schweizer Anbieter mit Schweizer Infrastruktur zu setzen.
- USA bieten kein angemessenes Datenschutzniveau (Digitale Gesellschaft)
- Swiss–US Privacy Shield für ungenügend erklärt. Was jetzt? (aspectra-Blog)
- Office 365 erfüllt DSGVO nicht – sagen die Datenschützer (aspectra-Blog)
- Positionspapier Privacy Shield (EDÖB, 08.09.2020) (PDF, 206 kB)