Anfra­ge Schwa­ab (15.1068): Wel­che Fol­gen hat die Abschaf­fung des Safe Har­bors USA-EU im Bereich Daten­schutz für die Schweiz?

Eingereichter Text

Ich stel­le dem Bun­des­rat fol­gen­de Fra­gen.

Der Gene­ral­an­walt des Euro­päi­schen Gerichts­hofs ist vor Kur­zem zu dem Schluss gelangt, dass die Euro­päi­sche Kom­mis­si­on das Safe-Har­bor-Abkom­men mit den Ver­ei­nig­ten Staa­ten aus­set­zen soll­te, damit die syste­ma­ti­sche Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in die USA nicht mehr mög­lich ist, bevor nicht ein bes­se­rer Daten­schutz gewähr­lei­stet wird.

1. Wel­che Fol­gen hat dies für den Daten­schutz in der Schweiz?

2. Ist der Daten­schutz in den USA noch “ange­mes­sen” im Sin­ne von Arti­kel 6 des Daten­schutz­ge­set­zes?

Antwort des Bundesrats vom 18.11.2015

Der Gerichts­hof der Euro­päi­schen Uni­on (EuGH) hat in sei­nem Urteil vom 6. Okto­ber 2015 in der Rechts­sa­che C-362/14 die Ent­schei­dung der Euro­päi­schen Kom­mis­si­on für ungül­tig erklärt, in der die­se fest­stellt, dass die Ver­ei­nig­ten Staa­ten ein ange­mes­se­nes Schutz­ni­veau für über­mit­tel­te per­so­nen­be­zo­ge­ne Daten gewähr­lei­sten. Der EuGH hat zudem ent­schie­den, dass die natio­na­len Daten­schutz­be­hör­den der EU-Mit­glied­staa­ten in völ­li­ger Unab­hän­gig­keit Ein­ga­ben von Per­so­nen prü­fen kön­nen müs­sen, die sich auf den Schutz ihrer Rech­te und Frei­hei­ten bei der Ver­ar­bei­tung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten bezie­hen.

Die Arti­kel-29-Daten­schutz­grup­pe hat in der Fol­ge die­ses Urteils die EU-Mit­glied­staa­ten und die euro­päi­schen Insti­tu­tio­nen dazu auf­ge­ru­fen, mit den ame­ri­ka­ni­schen Behör­den Gesprä­che auf­zu­neh­men, um bis Ende Janu­ar 2016 geeig­ne­te Lösun­gen zu fin­den.

Der Bun­des­rat beant­wor­tet die Fra­gen wie folgt und ver­weist im Übri­gen auf sei­ne Ant­wort auf die Inter­pel­la­ti­on Eichen­ber­ger 15.4001, “U.S.-Swiss Safe Har­bor Frame­work. Die Per­so­nen­da­ten wirk­lich schüt­zen!”:

1. Das Urteil des EuGH hat kei­ne ver­pflich­ten­de Wir­kung für die Schweiz. Es ist aber den­noch von beacht­li­cher Bedeu­tung für unser Land. Das Urteil wirft ein Schlag­licht auf Pro­ble­me, die auch das mit dem Brief­wech­sel vom 1. und 9. Dezem­ber 2008 geschaf­fe­ne Daten­schutz­rah­men­werk zur Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in die Ver­ei­nig­ten Staa­ten von Ame­ri­ka (SR 0.235.233.6; “Safe-Har­bor-Abkom­men der Schweiz mit den USA”) betref­fen, denn das zwi­schen der Schweiz und den USA ver­ein­bar­te Abkom­men wur­de nach dem Vor­bild des Abkom­mens zwi­schen der Euro­päi­schen Uni­on und den Ver­ei­nig­ten Staa­ten geschaf­fen. Es geht für den Bun­des­rat nun­mehr dar­um, zu beob­ach­ten, wel­che Aus­wir­kun­gen das Urteil des EuGH auf die Ver­hand­lun­gen zwi­schen der EU und den USA zur Ver­bes­se­rung des durch die Safe-Har­bor-Rege­lung gewähr­lei­ste­ten Schutz­stan­dards haben wird. Der Bun­des­rat ist der Ansicht, dass für eine erfolg­rei­che Neu­ver­hand­lung des Abkom­mens zwi­schen der Schweiz und den USA ein mit der EU abge­stimm­tes Vor­ge­hen anzu­stre­ben ist. Er will des­halb die Ent­wick­lung der Ver­hand­lun­gen zwi­schen der EU und den USA sowie die von den EU-Mit­glied­staa­ten und den euro­päi­schen Insti­tu­tio­nen im Ver­lau­fe der kom­men­den Mona­te ergrif­fe­nen Mass­nah­men auf­merk­sam ver­fol­gen. Bis mit den ame­ri­ka­ni­schen Behör­den geeig­ne­te Lösun­gen gefun­den wor­den sind, emp­fiehlt der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (Edöb), bei der Über­mitt­lung von Per­so­nen­da­ten in die USA ver­trag­li­che Garan­ti­en im Sin­ne von Arti­kel 6 Absatz 2 Buch­sta­be a des Bun­des­ge­set­zes über den Daten­schutz (DSG; SR 235.1) zu ver­ein­ba­ren. Auch wenn mit sol­chen Garan­ti­en das Pro­blem der weit­rei­chen­den Daten­zu­grif­fe der ame­ri­ka­ni­schen Behör­den nicht gelöst ist, kann nach Ansicht des Edöb auf die­sem Weg den­noch das Daten­schutz­ni­veau ver­bes­sert wer­den. Unter­neh­men und Orga­ni­sa­tio­nen, die Daten extern bear­bei­ten, könn­te zudem emp­foh­len wer­den, sie auf Ser­vern in Euro­pa zu spei­chern. Dem Edöb bleibt es ausser­dem unbe­nom­men, von der ihm im Safe-Har­bor-Abkom­men ein­ge­räum­ten Mög­lich­keit Gebrauch zu machen, die Aus­set­zung der Daten­über­mitt­lung an ein Unter­neh­men oder eine ande­re Orga­ni­sa­ti­on zu emp­feh­len, sofern die Bedin­gun­gen hier­zu erfüllt sind.

2. Nach Arti­kel 31 Absatz 1 Buch­sta­be d DSG obliegt es dem Edöb, zu beur­tei­len, inwie­weit die Daten­schutz­ge­setz­ge­bung im Aus­land einen ange­mes­se­nen Schutz gewähr­lei­stet. Im oben­ge­nann­ten Brief­wech­sel, der vom Edöb unter­zeich­net wur­de, “wer­den U.S.-Unternehmen, wel­che sich unter den Grund­sät­zen des ‘siche­ren Hafens’ zum Daten­schutz zwi­schen den USA und der Schweiz selbst­zer­ti­fi­zie­ren, als sol­che ange­se­hen, die über ein ange­mes­se­nes Daten­schutz­ni­veau im Sin­ne von Arti­kel 6 Absatz 1 DSG ver­fü­gen”. Der Edöb hat in einer Pres­se­mit­tei­lung vom 22. Okto­ber 2015 erklärt, dass er das Safe-Har­bor-Abkom­men zwi­schen der Schweiz und den USA nicht mehr als genü­gen­de Rechts­grund­la­ge für die Über­mitt­lung von Per­so­nen­da­ten in die USA betrach­tet. Die juri­sti­sche Trag­wei­te die­ser Erklä­rung ist in der Dok­trin umstrit­ten, weil das Safe-Har­bor-Abkom­men zwi­schen der Schweiz und den USA wei­ter­hin in Kraft ist.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.