FAQ: Auswirkungen des EuGH-Urteils zum Safe-Harbor-Abkommen (Schweiz & Deutschland)

November 2, 2015 11:41 am

Das Safe-Harbor-Urteil des EuGH vom 6. Oktober 2014 führt nach wie vor zu heftigen Diskussionen über Bedeutung und Auswirkungen für Schweizer Unternehmen, aber auch ausländische Unternehmen, die in der Schweiz  Daten bearbeiten. Wir nehmen dies zum Anlass, um die häufigsten Fragen in Form eines FAQ’s darzustellen. Aufgrund der Vernetzung der Online-Wirtschaft sind wir zudem der Ansicht, dass eine rein schweizerische Betrachtung in der Praxis höchstens von akademischer Relevanz ist. Bei den meisten betroffenen Unternehmen wird der EuGH-Entscheid aufgrund der Art und Herkunft der bearbeiteten Daten ohne weiteres direkt relevant sein. Wir gehen deshalb in unserem FAQ sowohl von der Rechtslage in der Schweiz und (exemplarisch) in Deutschland aus. Auf folgende Fragen finden Sie unten entsprechende Antworten, resp. Hilfestellungen:

  1. Was wurde im Safe Harbor-Urteil des EuGH vom 6. Oktober 2014 entschieden?
  2. Berührt mich das EuGH-Urteil überhaupt?
  3. Welche zusätzlichen Massnahmen werden verlangt?
  4. Wir transferieren keine Personendaten in die USA. Muss ich trotzdem etwas unternehmen?
  5. Wir transferieren Personendaten nur an unsere Muttergesellschaft in den USA. Sind wir damit von den Safe Harbor-Entscheidungen betroffen?
  6. Wir transferieren Personendaten zu einem US-amerikanischen Cloud-Anbieter, bearbeiten aber die Daten in der Cloud selber. Müssen wir etwas unternehmen?
  7. Wir arbeiten mit einem US-amerikanischen Cloud-Anbieter zusammen und wissen überhaupt nicht, wo genau die von uns in die Cloud transferierten Personendaten gespeichert sind. Was sollen wir tun?
  8. Wir transferieren bereits seit mehreren Jahren Personendaten in die USA. Müssen wir die entsprechenden Datentransfers auch prüfen und evtl. Anpassungen vornehmen? Oder werden von den Safe Harbor-Entscheidungen nur zukünftige Datentransfer-Projekte tangiert?
  9. Was ist, wenn nicht wir selbst, sondern auf unserer Webseite installierte Social-Plugins, Analysetools oder Cookies von Drittanbietern die Personendaten in die USA transferieren?
  10. Was passiert, wenn wir uns nicht an die Safe Harbor-Entscheidung halten, obwohl Massnahmen notwendig wären?
  11. Wie schnell müssen wir allfällige Massnahmen implementieren?
  12. Wir verwenden für Datentransfers in die USA bereits seit längerem die entsprechenden EU Standardklauseln bzw. den Outsourcing Mustervertrag des EDÖB. Können wir uns damit zurücklehnen?
  13. Wir haben einen zu wenig aktuellen Überblick über unsere Datentransfers ins Ausland und insbesondere in die USA. Wie sollen wir bei der Überprüfung und Implementierung von Massnahmen vorgehen?
  14. Wenn wir Massnahmen ergreifen und unsere Datentransfers in die USA auf vertragliche Garantien abstützen, sind wir für die nächste Zeit von weiteren Massnahmen sicher?
  15. Was gilt eigentlich mit dem Datentransfer in andere Länder? Betreffen das EuGH-Urteil und auch die Mitteilung des EDÖB auch solche Transfers?

 

 1 Was wurde im Safe Harbor-Urteil des EuGH vom 6. Oktober 2014 entschieden?
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 6. Oktober 2015 (Urteil C-362/14) eine Entscheidung der Europäischen Kommission (Entscheidung 2000/520) betreffend Safe Harbor-Regelung mit den USA und damit indirekt auch die Safe Harbor-Regelung selbst für ungültig erklärt. Bei Safe Harbor geht es um eine Rahmenvereinbarung zwischen den USA und der EU, in welcher verschiedene Prinzipien zur Bearbeitung von Personendaten festgelegt wurden. Die Safe Harbor-Zertifizierung erlaubte den erleichterten Transfer von Personendaten aus der EU zum zertifizierten US-Unternehmen (eine Zusammenfassung des Urteils finden Sie in unserem Beitrag „EuGH erklärt Safe Harbor-Regelung mit USA für ungültig“ vom 8. Oktober 2015 (BR-News vom 8. Oktober 2015).
 2 Berührt mich das EuGH-Urteil überhaupt?
 Schweiz Die Schweiz hat mit den USA ein vergleichbares Safe Harbor-Regelwerk wie die EU abgeschlossen. Bereits kurz nach dem Urteil des EuGH wurde in der Schweiz in Fachkreisen heftig diskutiert, ob das Urteil Einfluss auf das CH-USA Safe Harbor-Regelwerk haben wird. Während einzelne Autoren der Meinung waren, dass der Entscheid keinen Einfluss haben werde und alles beim Alten bleibt, waren andere Autoren – auch mit Blick auf die Urteilsbegründung des EuGH skeptischer (eine Zusammenfassung des Urteils finden Sie in unserem Beitrag „EuGH erklärt Safe Harbor-Regelung mit USA für ungültig“ vom 8. Oktober 2015 (BR-News vom 8. Oktober 2015).

Die Skepsis hat sich bewahrheitet. Mit Mitteilung vom 22. Oktober 2015 hat der Eidgenössische Datenschutzbeauftragte (EDÖB) festgehalten, dass auch das CH-USA Safe Harbor-Regelwerk für den Transfer von Personendaten aus der Schweiz in die USA keine ausreichende Rechtsgrundlage mehr bildet. Der EDÖB verlangt von allen Unternehmen, welche Daten in die USA transferieren und sich dabei ausschliesslich auf Safe Harbor abstützen, zusätzliche datenschutzrechtliche Massnahmen. Der EDÖB hat die zusätzlichen Massnahmen in einer weiteren Mitteilung vom 28. Oktober 2015 weiter ausgeführt und konkretisiert (siehe weiter unten die Antwort zu Frage 3).

 Deutschland Der EuGH hat das Safe Harbor-Regelwerk für den Datenaustausch mit den USA für ungültig erklärt. Ab sofort legitimiert das Safe Harbor-Regelwerk die Übermittlung von Daten in die USA nicht mehr. Alle europäischen Unternehmen, die Daten in die USA übermitteln und sich bis am 6. Oktober 2015 ausschliesslich auf Safe Harbor verlassen haben, müssen zusätzliche Massnahmen treffen.
 3 Welche zusätzlichen Massnahmen werden verlangt?
 Schweiz Der EDÖB empfiehlt, beim Datenaustausch mit US-Unternehmen vertragliche Garantien (z.B. die EU-Standardklauseln oder seinen eigenen Standard-Outsourcing-Vertrag zu verwenden). Bei diesen vertraglichen Garantien ist folgendes zu beachten:

  • Personen, deren Daten in die USA übermittelt werden, müssen klar und umfassend über die möglichen Behördenzugriffe informiert werden, damit sie ihre Rechte wahrnehmen können. Der Vertrag zum Austausch von Personendaten sollte die beteiligten Parteien dahingehend verpflichten.
  • Die Parteien müssen sich verpflichten, betroffenen Personen die für einen wirksamen Rechtsschutz notwendigen Behelfe zur Verfügung zu stellen, entsprechende Verfahren tatsächlich durchzuführen und darauf ergehende Urteile zu akzeptieren.

Mit Mitteilung vom 28. Oktober 2015 hat der EDÖB betreffend die zusätzlichen Massnahmen und insbesondere die in den vorangehenden Bullet Points angesprochenen Themen weitere Ausführungen gemacht. Gemäss EDÖB ist eine aktive Information der betroffenen Personen über den Datentransfer in die USA notwendig. Die Modalitäten der Information sind im Einzelfall zu prüfen.

 Deutschland Für Deutschland (und andere EU-Länder) ist insbesondere die Mitteilung der Artikel 29 Working Party entscheidend. Bei der Working Party handelt es sich um ein Expertengremium, das sich aus Vertretern von nationalen Datenschutzbehörden sowie der Europäischen Kommission zusammensetzt. Deren Mitteilungen sind zwar nicht rechtlich bindend, haben aber dennoch Einfluss auf die Entscheide der nationalen Behörden. Mit Mitteilung vom 16. Oktober 2015 hat die Working Party zum Safe Harbor-Urteil des EuGH Stellung genommen. Betreffend Massnahmen, welche von Unternehmen beim Datenaustausch mit den USA getroffen werden müssen, hat die Working Party keine allzu detaillierten Ausführungen gemacht. Sie empfiehlt, dass Unternehmen aus der EU bis auf weiteres Daten nur noch gestützt auf zusätzliche vertragliche Vereinbarungen (EU-Standardvertragsklauseln, Binding Corporate Rules) in die USA transferieren sollen.
 4 Wir transferieren keine Personendaten in die USA. Muss ich trotzdem etwas unternehmen?
 Schweiz Dies ist denkbar. Wenn Sie z.B. Daten zuerst nach Deutschland transferieren und ihnen bekannt ist, dass dieselben Daten von dort weiter in die USA transferiert werden, müssen Sie dafür sorgen, dass der Bearbeiter in Deutschland dieselben Massnahmen trifft, welche Sie bei einem direkten Transfer in die USA einhalten müssten. Die Schutzmassnahmen für Datentransfers ins Ausland sollen nicht durch einen Weiterexport umgangen werden.

Der EDÖB verlangt mit Mitteilung vom 22. / 28. Oktober 2015 für Datentransfers in die USA eine aktive Informationspflicht. Dies muss auch dann gelten, wenn die Daten nicht direkt, sondern über einen Bearbeiter in einem Drittland in die USA transferiert werden.

Zuletzt sei noch darauf hingewiesen, dass Sie die unter Antwort zu Frage 3 angeführten Massnahmen auch treffen müssen, wenn Sie zwar nicht aktiv Daten in die USA transferieren, wenn aber Unternehmen aus den USA Zugriff auf Ihre Daten in der Schweiz haben. Der Zugriff auf Daten aus dem Ausland gilt als Datentransfer ins Ausland. Mögliche Konstellationen sind z.B. wenn Mitarbeiter einer Muttergesellschaft oder eines Dienstleistungsanbieters mit Sitz in den USA (z.B. über Remote Access) auf Ihre Personendaten in der Schweiz zugreifen.

 Deutschland Die Ausführungen betreffend die Schweiz gelten auch für Deutschland.
 5 Wir transferieren Personendaten nur an unsere Muttergesellschaft in den USA. Sind wir damit von den Safe Harbor-Entscheidungen betroffen?
 Schweiz Ja. Die Bekanntgabe von Personendaten an die Muttergesellschaft in den USA gilt als Datentransfer ins Ausland. Das schweizerische Datenschutzrecht kennt kein Konzernprivileg. Dies stellt insbesondere Tochtergesellschaften von amerikanischen Unternehmensgruppen immer wieder vor Probleme. Häufig werden in solchen Unternehmensgruppen gewisse interne Dienstleistungen in den USA zentralisiert (z.B. Basis-HR-Funktionen). Dies führt in allen Fällen zu Datentransfers in die USA, welche nun nicht mehr ausschliesslich auf Safe Harbor abgestützt werden können.

Datenbearbeitungen und damit Datentransfers oder – Zugriffe innerhalb eines Konzerns werden idealerweise über konzernweite Data Privacy Policies geregelt.

 Deutschland Auch wenn dies von einzelnen Unternehmen und auch Autoren immer wieder gefordert wird, gibt es in Deutschland ebenfalls kein Konzernprivileg. Es gelten daher dieselben Ausführungen wie für die Schweiz.
 6 Wir transferieren Personendaten zu einem US-amerikanischen Cloud-Anbieter, bearbeiten aber die Daten in der Cloud selber. Müssen wir etwas unternehmen?
 Schweiz Ja. Selbst wenn der Cloud-Anbieter vertraglich zusichern würde, dass er nicht auf die Daten zugreift, würde bereits die faktische Möglichkeit des Zugriffs zur Qualifikation als Datentransfer in die USA genügen. Zudem übernehmen die Cloud-Anbieter regelmässig Support- und Wartungsdienstleistungen, bei denen sie jeweils Zugriff auf die Daten erhalten.

Diskutiert wird häufig, ob es sich um einen Datentransfer in die USA handelt, wenn die Daten nicht nur verschlüsselt transferiert werden, sondern dann auch verschlüsselt in der Cloud gespeichert sind. Verschlüsselte oder anonymisierte Daten stellen regelmässig keine Personendaten mehr dar, wenn der Personenbezug durch Dritte aufgrund der Verschlüsselung nicht hergestellt werden kann. Es ist allerdings im Einzelfall zu prüfen, ob die Verschlüsselung und damit Anonymisierung den Anforderungen des schweizerischen Datenschutzgesetzes genügen.

 Deutschland Die Ausführungen zur Schweiz gelten auch für Deutschland.
 7 Wir arbeiten mit einem US-amerikanischen Cloud-Anbieter zusammen und wissen überhaupt nicht, wo genau die von uns in die Cloud transferierten Personendaten gespeichert sind. Was sollen wir tun?
 Schweiz Dann müssen Sie sich spätestens jetzt erkundigen. Im Zweifelsfalle, z.B. wenn die Speicherung der Daten automatisiert erfolgen und auch der Anbieter nur beschränkt Einfluss auf die Lokalität des Speicherortes haben sollte, müssen Sie Massnahmen im Sinne der Antwort zu Frage 3 treffen.
 Deutschland Es gilt dasselbe wie in der Schweiz. Im Gegensatz zur Schweiz sollten Sie jedoch die Massnahmen unverzüglich einleiten.
 8 Wir transferieren bereits seit mehreren Jahren Personendaten in die USA. Müssen wir die entsprechenden Datentransfers auch prüfen und evtl. Anpassungen vornehmen? Oder werden von den Safe Harbor-Entscheidungen nur zukünftige Datentransfer-Projekte tangiert?
 Schweiz Sie müssen zusätzliche Massnahmen ergreifen. Der EDÖB hat in seinen Mitteilungen vom 22. / 28. Oktober 2015 deutlich gemacht, dass sich die Nicht-Anwendbarkeit von Safe Harbor auch auf bestehende Datentransfer-Verhältnisse bezieht. Sie müssen daher, wenn die Datentransfers in die USA bis anhin ausschliesslich gestützt auf Safe Harbor erfolgten, für diese Transfers ebenfalls zusätzliche Massnahmen treffen.
 Deutschland Die Ausführungen zur Schweiz können für Deutschland übernommen werden.
 9 Was ist, wenn nicht wir selbst, sondern auf unserer Webseite installierte Social-Plugins, Analysetools oder Cookies von Drittanbietern die Personendaten in die USA transferieren?
 Schweiz Der EDÖB hat sich in zahlreichen Newslettern mit Social-Plugins, Analysetools und damit auch Cookies befasst. Gemäss EDÖB ist der Einsatz solcher Plugins und Tools datenschutzrechtlich problematisch, aber durchaus erlaubt, wenn die Grundsätze der Datenbearbeitung berücksichtigt werden. Der EDÖB hat insbesondere festgehalten, dass nicht nur der Anbieter der Analysetools, Plugins oder Cookies für den Datenschutz verantwortlich ist, sondern eben auch derjenige, der solche Tools für seine Webseite verwendet. Sie können daher Ihre datenschutzrechtliche Verantwortung nicht an Google oder Facebook abgeben.

Sofern sich die Server des Anbieters der Plugins, Analysetools oder Cookies im Ausland befinden, liegt im Allgemeinen ein Datentransfer ins Ausland vor. Es müssen damit dieselben Grundsätze wie für jeden anderen Datentransfer berücksichtigt werden.

Wenn der Anbieter der von Ihnen verwendeten Plugins oder Analysetools eine US-amerikanische Gesellschaft ist, müssen die neuen Massnahmen des EDÖB für Datentransfers in die USA eingehalten werden.

Im Einzelfall sollte zunächst geprüft werden, ob die Personendaten vor dem Transfer in die USA und der Bearbeitung durch den US-Anbieter anonymisiert werden. Die Anonymisierung muss jedoch wiederum den Anforderungen des schweizerischen Datenschutzgesetzes genügen.

 Deutschland Betreffend Social Plugins wurde in Deutschland weit vor der Safe Harbor-Entscheidung des EuGH um die datenschutzrechtlich korrekte Einbindung gestritten. Implementiert werden sollte die sog. 2-Click-Lösung. Das Safe Harbor-Urteil könnte allenfalls die Frage der datenschutzrechtlich korrekten Einbindung von Plugins verschärfen. Es stellt sich die Frage, ob der erste Klick unter den veränderten Umständen als rechtsgenügende Einwilligung in den Datentransfer in die USA qualifiziert werden kann. Es müsste zumindest vor der Einwilligung, d.h. vor diesem ersten Klick deutlich und umfassend darüber informiert werden, dass damit eine Zustimmung zum Datentransfer in die USA erfolgt und dass daher die Behörden in den USA Zugriff auf diese Daten erhalten können.
 10 Was passiert, wenn wir uns nicht an die Safe Harbor-Entscheidung halten, obwohl Massnahmen notwendig wären?
 Schweiz Sie verletzen gemäss EDÖB das Datenschutzgesetz. Der Datentransfer in die USA ohne ausreichende Schutzmassnahmen stellt eine Verletzung des Datenschutzgesetzes dar. Werden keine zusätzlichen Massnahmen implementiert, kann der EDÖB eine Untersuchung einleiten und Empfehlungen abgeben. Diese sind nicht rechtlich verbindlich. Wenn sich jedoch das Unternehmen nicht daran hält, kann der EDÖB ein Verfahren anstrengen.

Nicht zu vergessen sind Massnahmen der betroffenen Personen. Diese können, wie Herr Schrems im Safe Harbor-Verfahren in der EU, beim Zivilgericht auf Unterlassung des Datentransfers klagen.

 Deutschland Eine unzulässige Übermittlung personenbezogener Daten in Drittländer kann mit einem Ordnungsgeld oder mit einer Unterlassungsverfügung sanktioniert werden. Aktuell ist noch unklar, mit welcher Intensität die deutschen Datenschutzbehörden bei der Kontrolle der Übertragung personenbezogener Daten in die USA vorgehen werden.
 11 Wie schnell müssen wir allfällige Massnahmen implementieren?
 Schweiz Falls notwendig, müssen Sie bis Ende Januar 2016 zusätzliche Massnahmen implementieren.
 Deutschland Das Safe Harbor-Urteil des EuGH gilt sofort ohne Übergangsfrist. Allerdings dürften auch die deutschen Behörden den Unternehmen eine gewisse Anpassungsfrist zugestehen.
 12 Wir verwenden für Datentransfers in die USA bereits seit längerem die entsprechenden EU Standardklauseln bzw. den Outsourcing Mustervertrag des EDÖB. Können wir uns damit zurücklehnen?
 Schweiz Der EDÖB hat in seinen Mitteilungen vom 22. / 28. Oktober 2015 festgehalten, dass bei den vertraglichen Garantien gewisse besondere Regelungen zu berücksichtigen sind. Es handelt sich dabei um die folgenden beiden Empfehlungen:

  • Personen, deren Daten in die USA übermittelt werden, müssen klar und umfassend über die möglichen Behördenzugriffe informiert werden, damit sie ihre Rechte wahrnehmen können. Der Vertrag zum Austausch von Personendaten sollte die beteiligten Parteien dahingehend verpflichten.
  • Die Parteien müssen sich verpflichten, betroffenen Personen die für einen wirksamen Rechtsschutz notwendigen Behelfe zur Verfügung zu stellen, entsprechende Verfahren tatsächlich durchzuführen und darauf ergehende Urteile zu akzeptieren.

Sie sollten daher Ihre bestehenden Datentransfer-Verträge mit Anbietern in den USA prüfen und, falls Handlungsbedarf gegeben ist, anpassen.

 Deutschland Gemäss der Artikel 29 Working Party genügen bis auf Weiteres die EU Standardklauseln oder konzernweite Data Privacy Policies – sofern diese die Voraussetzungen des deutschen Datenschutzrechtes einhalten. Weitere Massnahmen werden bis anhin nicht verlangt.
 13 Wir haben einen zu wenig aktuellen Überblick über unsere Datentransfers ins Ausland und insbesondere in die USA. Wie sollen wir bei der Überprüfung und Implementierung von Massnahmen vorgehen?
 Schweiz Wir empfehlen Ihnen folgendes Vorgehen:

  • Überprüfung, ob Ihr Unternehmen Personendaten in die USA transferiert (z.B. zur Speicherung auf zentralen Servern). Wenn Ihr Unternehmen z.B. das Data Hosting an einen US-Anbieter ausgelagert hat, ist bei diesem Anbieter nachzufragen, wo die Server stehen, auf welchen Ihre Daten gespeichert sind. Einer näheren Überprüfung bedarf es auch, wenn Daten zwar nicht auf einem Server in den USA gespeichert sind, aber Unternehmen (z.B. Gruppengesellschaften) auf diese Daten von den USA aus Zugriff haben.
  • Werden Personendaten in den USA gespeichert oder haben Unternehmen von den USA aus Zugriff auf Personendaten, ist zu prüfen, auf welcher datenschutzrechtlichen Grundlage diese Transfers in die USA oder Zugriffe aus den USA erfolgen. Zu denken ist z.B. an das erwähnte Safe Harbor-Regelwerk, an Data Processing Agreements wie z.B. die EU Standardklauseln oder konzernweite Data Privacy Policies.
 Deutschland Die für die Schweiz vorgeschlagene Vorgehensweise dürfte auch für deutsche Unternehmen sachgerecht sein.
 14 Wenn wir Massnahmen ergreifen und unsere Datentransfers in die USA auf vertragliche Garantien abstützen, sind wir für die nächste Zeit von weiteren Massnahmen sicher?
 Schweiz Leider nicht ganz. Der EDÖB scheut sich bis anhin, klare Aussagen zu machen, und schiebt in seiner Mitteilung vom 28. Oktober 2015 den Ball quasi an die EU zurück. Ob die EU-Standardklauseln sowie entsprechende konzernweite Data Privacy Policies auch zukünftig für den Datentransfer in die USA genügen, wird damit auch für schweizerische Unternehmen auf der EU-Ebene mitbeeinflusst.
 Deutschland Auch hier gilt leider nein. Die Article 29 Working Party wollte sich in ihrer Mitteilung vom 16. Oktober 2015 nicht auf zukünftige Entwicklungen festlegen. Sie hofft, dass bis Ende Januar 2016 mit den USA eine Einigung über ein neues Datentransfer-Abkommen erzielt werden kann. Dies erscheint jedoch nicht realistisch.Zu den EU-Standardklauseln nimmt die Working Party nur schwammig Stellung. Gemäss Working Party seien diese für Datentransfers in die USA bis auf Weiteres ausreichend, doch könne nicht ausgeschlossen werden, dass nationale Gerichte auf Klage von betroffenen Personen hin anders entscheiden. Die Working Party werde zudem diese Datentransfer-Tools weiter analysieren.
 15 Was gilt eigentlich mit dem Datentransfer in andere Länder? Betreffen das EuGH-Urteil und auch die Mitteilung des EDÖB auch solche Transfers?
Nicht direkt. Aber auch für Datentransfers in andere Länder als die USA gilt das Datenschutzgesetz der Schweiz und Deutschlands. Werden die Daten in ein Land transferiert, dass gemäss EDÖB oder den deutschen Behörden über kein angemessenes Datenschutzniveau verfügt, werden zusätzliche Datenschutzmassnahmen notwendig.

Bei der Prüfung, ob ein Land über ein angemessenes Datenschutzniveau verfügt, müssten nach dem Safe Harbor-Urteil des EuGH der EDÖB und die deutschen Datenschutzbehörden nunmehr auch abklären, inwiefern das Grundrecht auf informationelle Selbstbestimmung der betroffenen Personen in diesen Ländern geschützt wird. Wird das Grundrecht in den betreffenden Ländern durch übermässige staatliche Eingriffe tangiert, müsste das Schutzniveau als nicht angemessen qualifiziert werden.

Auch kann nicht vollkommen ausgeschlossen werden, dass ein Zivilgericht auf Klage einer betroffenen Person hin, den Datentransfer in andere Länder gestützt auf die grundrechtliche Argumentation des EuGH untersagt.

 

Weitere Informationen

 

Ansprechpartner:  Dr. Michael Reinle & Dr. Carsten Föhlisch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.