Der EDÖB hat heute seine Stellungnahme zur Bedeutung des Urteils des EuGH zu Schrems II veröffentlicht und Implikationen für Datenübermittlungen von Personendaten in die USA und weitere Staaten ohne eine angemessenes Schutzniveau i.S.v. Art. 6 Abs. 1 DSG formuliert. Wie erwartet, hält er den CH-US Privacy Shield für eine zulässige Übermittlung von Personendaten aus der Schweiz an einen Empfänger in den USA nicht mehr für ausreichend. Die Standardvertragsklauseln werden zwar nicht aufgehoben, doch sind zusätzliche Massnahmen erforderlich.
Im Einzelnen hält der EDÖB folgendes fest:
- Die Staatenliste dient Exporteuren von Personendaten aus der Schweiz ins Ausland als Hilfsmittel, die Angemessenheit des Datenschutzniveaus eines Staates vor einer Datenübermittlung an Empfänger in diesem Staat zu prüfen. Die Einträge auf der Liste stellen dabei eine widerlegbare Vermutung dar; es obliegt jedem Datenexporteur, die Angemessenheit des Datenschutzniveaus im jeweiligen Drittstaat eigenständig auf mögliche Datenschutzrisiken zu prüfen.
- Das CH-US Privacy Shield dient nicht mehr als Garantie i.S.v. Art. 6 Abs. 2 DSG.
- Die Standardvertragsklauseln werden nicht aufgehoben (d.h. als prinzipiell ungeeignet eingestuft), aber:
Dementsprechend muss davon ausgegangen werden, dass die SCC und vergleichbare Klauseln die Anforderungen an vertragliche Garantien nach Art. 6 Abs. 2 lit. a DSG für eine Datenübermittlung in nicht gelistete Staaten in vielen Fällen nicht erfüllen.
Die Standardklauseln stellen aus Sicht des EDÖB deshalb keinen Standard mehr dar – in diesem Sinne wurden sie faktisch also, wie schon durch den EuGH, durchaus aufgehoben, denn die Wirkung eines Standards haben sie nicht mehr. Sie sind «in vielen Fällen» vielmehr nur noch ausreichend, wenn sie ergänzt werden.
Das zeigt das praktische Problem: Bisher wurden die Standardklauseln häufig als notwendige, aber auch hinreichende Voraussetzung der Übermittlung in Drittstaaten betrachtet, und diese Möglichkeit entfällt nun, ohne dass eine praktikable Alternative ersichtlich wäre.
Man muss allerdings zugeben, dass die Standardvertragsklauseln nach Art. 46 Abs. 1 DSGVO nie bedeutet haben, dass Daten unbesehen in Drittstaaten übermittelt werden dürfen. Die Übermittlung war vielmehr nur zulässig, wenn geeignete Garantien vorgesehen waren – z.B. die Standardklauseln – und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung standen. Das ergibt sich aus Art. 46 Abs. 1 DSGVO und beruht darauf, dass die Klauseln die Behörden des Empfängerstaats nicht binden, weshalb der Rechtsschutz besondere Bedeutung hat. Und letzterer fehlt aus Sicht des EuGH und des EDÖB im Fall der USA. Es war insofern angelegt, dass die Standardvertragsklauseln nur eingeschränkt standardisierende Wirkung haben können.
Dazu kommt, dass die Standardklauseln a priori nur dann eine Grundlage für Auslandsübermittlungen sein können, wenn kein Anlass besteht, an ihrer Einhaltung durch den Importeur zu sehr zu zweifeln. Die Klauseln enthalten u.a. aber eine Zusicherung des Importeurs, dass sein lokales Recht den Klauseln nicht entgegensteht (Ziff. 5 der Processor-Klauseln und Ziff. II der Controller-Klauseln); und diese Zusicherung war für Importeure in den USA und vergleichbare Länder vielleicht nicht ganz belastbar.
Der EDÖB hält denn auch fest, dass auch ergänzte Klauseln ausländische Behörden nicht binden. Wenn Zugriffe im Ausland möglich sind und der ausländische Empfänger die «nötige Mitwirkung» nicht leisten kann, laufen – auch ergänzte – Klauseln ins Leere. In diesem Fall empfiehlt der EDÖB folgendes:
Der schweizerische Datenexporteur muss in solchen Fällen technische Massnahmen prüfen, die den Behördenzugriff auf die übermittelten Personendaten im Zielland faktisch verhindern. Bei der Datenhaltung im Sinne eines reinen Cloud-Betriebs durch Dienstleister in einem nicht gelisteten Staat wäre z.B. eine Verschlüsselung denkbar, welche nach den Prinzipien BYOK (bring your own key) und BYOE (bring your own encryption) umgesetzt ist, so dass im Zielland keine Klardaten vorliegen und der Dienstleister keine Möglichkeit hat, die Daten selber aufzuschlüsseln. Bei über die reine Datenhaltung hinausgehenden Dienstleistungen im Zielland gestaltet sich der Einsatz solcher technischen Massnahmen indessen als anspruchsvoll. Soweit solche Massnahmen nicht möglich sind, empfiehlt der EDÖB auf die Übermittlung von Personendaten in den nicht gelisteten Staat gestützt auf vertragliche Garantien zu verzichten.