Eingereichter Text
Ich stelle dem Bundesrat folgende Fragen.
Der Generalanwalt des Europäischen Gerichtshofs ist vor Kurzem zu dem Schluss gelangt, dass die Europäische Kommission das Safe-Harbor-Abkommen mit den Vereinigten Staaten aussetzen sollte, damit die systematische Übermittlung von personenbezogenen Daten in die USA nicht mehr möglich ist, bevor nicht ein besserer Datenschutz gewährleistet wird.
1. Welche Folgen hat dies für den Datenschutz in der Schweiz?
2. Ist der Datenschutz in den USA noch “angemessen” im Sinne von Artikel 6 des Datenschutzgesetzes?
Antwort des Bundesrats vom 18.11.2015
Der Gerichtshof der Europäischen Union (EuGH) hat in seinem Urteil vom 6. Oktober 2015 in der Rechtssache C‑362/14 die Entscheidung der Europäischen Kommission für ungültig erklärt, in der diese feststellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleisten. Der EuGH hat zudem entschieden, dass die nationalen Datenschutzbehörden der EU-Mitgliedstaaten in völliger Unabhängigkeit Eingaben von Personen prüfen können müssen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten beziehen.
Die Artikel-29-Datenschutzgruppe hat in der Folge dieses Urteils die EU-Mitgliedstaaten und die europäischen Institutionen dazu aufgerufen, mit den amerikanischen Behörden Gespräche aufzunehmen, um bis Ende Januar 2016 geeignete Lösungen zu finden.
Der Bundesrat beantwortet die Fragen wie folgt und verweist im Übrigen auf seine Antwort auf die Interpellation Eichenberger 15.4001, “U.S.-Swiss Safe Harbor Framework. Die Personendaten wirklich schützen!”:
1. Das Urteil des EuGH hat keine verpflichtende Wirkung für die Schweiz. Es ist aber dennoch von beachtlicher Bedeutung für unser Land. Das Urteil wirft ein Schlaglicht auf Probleme, die auch das mit dem Briefwechsel vom 1. und 9. Dezember 2008 geschaffene Datenschutzrahmenwerk zur Übermittlung von personenbezogenen Daten in die Vereinigten Staaten von Amerika (SR 0.235.233.6; “Safe-Harbor-Abkommen der Schweiz mit den USA”) betreffen, denn das zwischen der Schweiz und den USA vereinbarte Abkommen wurde nach dem Vorbild des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten geschaffen. Es geht für den Bundesrat nunmehr darum, zu beobachten, welche Auswirkungen das Urteil des EuGH auf die Verhandlungen zwischen der EU und den USA zur Verbesserung des durch die Safe-Harbor-Regelung gewährleisteten Schutzstandards haben wird. Der Bundesrat ist der Ansicht, dass für eine erfolgreiche Neuverhandlung des Abkommens zwischen der Schweiz und den USA ein mit der EU abgestimmtes Vorgehen anzustreben ist. Er will deshalb die Entwicklung der Verhandlungen zwischen der EU und den USA sowie die von den EU-Mitgliedstaaten und den europäischen Institutionen im Verlaufe der kommenden Monate ergriffenen Massnahmen aufmerksam verfolgen. Bis mit den amerikanischen Behörden geeignete Lösungen gefunden worden sind, empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb), bei der Übermittlung von Personendaten in die USA vertragliche Garantien im Sinne von Artikel 6 Absatz 2 Buchstabe a des Bundesgesetzes über den Datenschutz (DSG; SR 235.1) zu vereinbaren. Auch wenn mit solchen Garantien das Problem der weitreichenden Datenzugriffe der amerikanischen Behörden nicht gelöst ist, kann nach Ansicht des Edöb auf diesem Weg dennoch das Datenschutzniveau verbessert werden. Unternehmen und Organisationen, die Daten extern bearbeiten, könnte zudem empfohlen werden, sie auf Servern in Europa zu speichern. Dem Edöb bleibt es ausserdem unbenommen, von der ihm im Safe-Harbor-Abkommen eingeräumten Möglichkeit Gebrauch zu machen, die Aussetzung der Datenübermittlung an ein Unternehmen oder eine andere Organisation zu empfehlen, sofern die Bedingungen hierzu erfüllt sind.
2. Nach Artikel 31 Absatz 1 Buchstabe d DSG obliegt es dem Edöb, zu beurteilen, inwieweit die Datenschutzgesetzgebung im Ausland einen angemessenen Schutz gewährleistet. Im obengenannten Briefwechsel, der vom Edöb unterzeichnet wurde, “werden U.S.-Unternehmen, welche sich unter den Grundsätzen des ’sicheren Hafens’ zum Datenschutz zwischen den USA und der Schweiz selbstzertifizieren, als solche angesehen, die über ein angemessenes Datenschutzniveau im Sinne von Artikel 6 Absatz 1 DSG verfügen”. Der Edöb hat in einer Pressemitteilung vom 22. Oktober 2015 erklärt, dass er das Safe-Harbor-Abkommen zwischen der Schweiz und den USA nicht mehr als genügende Rechtsgrundlage für die Übermittlung von Personendaten in die USA betrachtet. Die juristische Tragweite dieser Erklärung ist in der Doktrin umstritten, weil das Safe-Harbor-Abkommen zwischen der Schweiz und den USA weiterhin in Kraft ist.