Der EU-US-Datenschutzrahmen: Wann und wie er für die Schweiz gelten wird

Am 7. Oktober 2022 der Präsident der Vereinigten Staaten Unterzeichnung einer Executive Order (EO) Entwickelt, um aktuelle Probleme bei der Übertragung personenbezogener Daten von Europa in die Vereinigten Staaten zu lösen. Zu diesem Thema wurde bereits viel veröffentlicht, und es wird bereits heftig und teilweise emotional darüber debattiert, ob das neue Data Privacy Framework (DPF) der Prüfung durch europäische Datenschutzbehörden und schließlich auch durch den Europäischen Gerichtshof standhalten wird. Die Schrems-III-Entscheidung wird voraussichtlich fallen.

Aber was ist mit der Schweiz? Gilt das DPL auch für Datenübermittlungen aus der Schweiz? Soll sie vom Bundesrat anerkannt werden? Und wann wird dies geschehen? Hier sind die Antworten.

Teilnahmeberechtigtes Land werden

Erstens erwähnt das Ethikamt die Europäische Union nicht einmal, geschweige denn die Schweiz. Es ist flexibler gestaltet:

• Zunächst einmal verspricht die US-Regierung, dass einige EO-Schutzmaßnahmen für alle Datenübertragungen in die USA gelten werden, unabhängig davon, woher sie stammen (wir werden weiter unten etwas über den Geltungsbereich sprechen). Dabei ist zu beachten, dass viele dieser Verfahren oder Beschränkungen eigentlich nicht neu sind. Es findet sich in Präsidialdirektiven und Policies von US-Geheimdiensten, die bereits vor der Vollstreckungsanordnung bestanden (PPD-28, EO 12333). Beachten Sie, dass der EO jederzeit vom Präsidenten der Vereinigten Staaten geändert werden kann.
• Der viel zitierte „Fairness“-Mechanismus, also die Möglichkeit für Nicht-US-Personen, eine Beschwerde bei einer neutralen und unabhängigen Stelle einzureichen (das europäische Recht verlangt nicht, dass es ein Gericht sein muss), steht nur Personen in „berechtigten Ländern“ offen. , oder – um genau zu sein – an Personen, die berechtigt sind, solche Beschwerden über einen berechtigten Staat einzureichen. Es ist der US-Staatsanwalt, der letztendlich ein Land (oder eine Gruppe von Ländern, wie z. B. die Europäische Union) als anspruchsberechtigtes Land bestimmt. Laut EO dürfen sie dies nur unter bestimmten Umständen tun, einschließlich (i) es gibt einen gegenseitigen Schutz von US-Personen in Bezug auf Signalaufklärung in dem berechtigten Staat und (ii) der berechtigte Staat erlaubt kommerzielle Übertragungen oder wird voraussichtlich erlauben von personenbezogenen Daten in die Vereinigten Staaten. Die erste Bedingung ist im Falle der Schweiz wahrscheinlich kein Problem, und die zweite Bedingung ist die interessanteste. Dies wird einen gewissen Druck auf die Datenschutzbehörden ausüben. Darüber hinaus funktioniert der „Fairness“-Mechanismus nur bei Beschwerden, die über eine qualifizierte staatliche Behörde eingereicht werden, d. h. Einzelpersonen können Beschwerden nicht direkt einreichen, sondern müssen dies über qualifizierte staatliche Behörden tun.

Dies bedeutet, dass die Schweiz mit den USA verhandeln muss, um ein „förderfähiges Land“ zu werden, und dabei die USA davon überzeugen muss, dass die Übermittlung von Personendaten in die USA nach schweizerischem Datenschutzrecht zulässig ist. Die daraus resultierenden diplomatischen Gespräche sollten auch die Benennung einer Behörde in der Schweiz (zum Beispiel des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten) beinhalten, um Beschwerden unter dem neuen US-Redress-Mechanismus einzureichen. Die Schweiz muss entscheiden, wer sie nutzen darf.

Warten wir es ab

Da das wahrscheinlichste Szenario ist, dass die Schweiz abwarten will, was die Europäische Kommission in Bezug auf den neuen DPF tut (den sie voraussichtlich unterstützen wird), und da solche Diskussionen einige Zeit dauern, wären wir (positiv) überrascht die Umsetzung des neuen DPF für Übermittlungen aus der Schweiz deutlich vor dem Inkrafttreten des revidierten Datenschutzgesetzes am 1. September 2023 zu sehen. Tatsächlich hat die Schweiz mit dem neuen Gesetz erstmals die Möglichkeit, eine förmliche Verfügung zu treffen dass Personendatenübermittlungen in die Vereinigten Staaten erlaubt sind, was heute weder der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) noch der Bundesrat tun können.

Beachten Sie, dass auch seitens der Vereinigten Staaten einige Arbeit geleistet werden muss. Während das EO unterzeichnet wurde, müssen noch neue Schutzmaßnahmen umgesetzt werden. Die US-Regierung hat ein Jahr Zeit, um sie umzusetzen, indem sie entsprechende Richtlinien erlässt. Es besteht also keine Notwendigkeit, den EDÖB zu beeilen, um etwas zu unternehmen. Es kann auch abwarten, was die Europäische Kommission und – was noch wichtiger ist – die EU-Datenschutzbehörden tun. Er wird höchstwahrscheinlich einfach ihrer Position auf die eine oder andere Weise folgen.

Wir stellen fest, dass der neue Rechtsbehelfsmechanismus einen ähnlichen Vorteil hat wie die Praxis, die bereits seit Jahren im Schweizer Recht etabliert ist: Während er die Möglichkeit für Nicht-US-Personen (über den oben genannten Mechanismus) bietet, gegen einige Rechte unter US Gesetze von US-Geheimdiensten verletzt wurden, werden sie diese Personen nicht sofort wissen, ob dies tatsächlich der Fall ist. Sie werden (zunächst) nur darüber informiert, dass ihr Fall geprüft und eine eventuell notwendige Behandlung festgestellt wurde, nicht aber, ob sie überwacht wurden oder ob ihre Rechte verletzt wurden. Erst nach mindestens fünf Jahren kann einer Person Akteneinsicht gewährt werden. Ein ähnliches Konzept gilt auch im Bundesnachrichtengesetz, wobei der EDÖB die unabhängige Prüfstelle ist.

EO allein reicht nicht aus

Werden alle Probleme mit der Übertragung von Daten in die USA bald verschwinden? Nummer.

Denn EO by Design allein führt nicht dazu, dass den Vereinigten Staaten ein angemessenes Datenschutzniveau zugesprochen wird. Es versucht lediglich, der Feststellung von Schrems II entgegenzuwirken, dass die USA eine Form des rechtlichen Zugriffs haben, die problematisch ist und uns daher verpflichtet, Transfer Impact Assessments (TIA) durchzuführen, wenn personenbezogene Daten unter Verwendung der Standardvertragsklauseln der Europäischen Kommission (EU SCC) übermittelt werden. Um als Land mit angemessenem Datenschutzniveau anerkannt zu werden, müssten die USA auch ein Bundesdatenschutzgesetz verabschieden, das europäischen Standards entspricht, was sie bisher nicht getan haben und voraussichtlich auch in absehbarer Zeit nicht tun werden.

Daher werden die Vereinigten Staaten „nur“ eine überarbeitete Version des vorherigen „Privacy Shield Framework“ (das in „United States EU Data Privacy Framework Principles“ umbenannt wird) einführen und von der Europäischen Kommission verlangen, es als angemessenen Schutz zu akzeptieren gemäß der Kunst von . 45 Allgemeine Datenschutzverordnung (DSGVO), jetzt unterstützt durch zusätzliche Schutzmaßnahmen im Rahmen des neuen Arbeitsrechts. Dasselbe wird vom Bundesrat erwartet, wenn die USA das Programm der Schweiz vorlegen, was geschehen soll. Beachten Sie, dass die Vereinigten Staaten trotz Verdachts weiterhin das Privacy Shield-Programm betreiben. Welche Änderungen unter dem neuen Programm notwendig werden und was das für diejenigen US-Unternehmen bedeutet, die bereits unter dem alten Privacy Shield selbstzertifiziert sind, ist noch nicht klar. Für die tägliche Praxis bedeutet dies, dass ein Exporteur in Europa Daten in die Vereinigten Staaten übermitteln möchte ohne Durch die Verwendung des EU SCC darf dies nur für ein US-Unternehmen erfolgen, das sich im Rahmen des neuen Programms selbst zertifiziert hat. Auch dies wird einige Zeit in Anspruch nehmen.

Die Mehrheit der Überweisungen wird weiterhin auf die EU SCC angewiesen sein. Hier hoffen wir nur, dass die anfängliche TIA in Zukunft für US-Übermittlungen unter Verwendung des EU-SCC erforderlich sein wird, wenn sich herausstellt, dass der neue EO US-rechtliche Probleme, die zur „Schrems II“-Entscheidung geführt haben, „vollständig adressiert“.

Es wird interessant sein zu sehen, welche Position der Europäische Datenschutzausschuss (EDPB) einnehmen wird, da sich die erwartete Angemessenheitsentscheidung der Europäischen Kommission aus den oben genannten Gründen wahrscheinlich auf das neue DPF-Programm für selbstzertifizierte US-Unternehmen konzentrieren wird. Es obliegt dem Exporteur, sich an den EU-Koordinierungsausschuss zu wenden, um zu entscheiden, ob er bei der Einhaltung von Artikel 14 des EU-SCC-Gesetzes, d. h legaler Zugriff durch die Sicherheitsbehörde möglich Nationalismus ist aus Sicht des EU-Rechts nicht mehr problematisch. Aus diesem Grund werden Richtlinien der europäischen Datenschutzbehörden und dementsprechend des EDSA als deren gemeinsames Organ relevant sein, und nicht nur die der Europäischen Kommission.

Wir sehen drei mögliche Hauptreaktionen des EU-Verwaltungsrates: Sie halten die EO für effektiv in den „Shrims 2“-Fragen, in diesem Fall können sich auch diejenigen, die die EU-SCC verwenden, bis zu einer abweichenden Entscheidung des Europäischen Gerichtshofs entspannen; Die Risiken des legalen Zugriffs können sie zumindest bei „normalen“ Datenübermittlungen nicht mehr von einer US-Behörde prüfen lassen (im Bereich des Berufs- und Amtsgeheimnisses ändert sich natürlich nichts). Das EDPB könnte auch zu dem Schluss kommen, dass das neue EO, obwohl es ein Schritt in die richtige Richtung ist, noch nicht ausreicht, und daher „empfiehlt“ das EDPB den Emittenten, weiterhin bestimmte Maßnahmen zu ergreifen, wie z. aggregierte Datensätze Nationale Sicherheit im Backbone des Internets (die meisten dieser Maßnahmen werden ohnehin schon notwendig sein, um ein angemessenes Datensicherheitsniveau zu erreichen). In diesem Fall kann es dennoch erforderlich sein, den TIA abzusenken. Wir halten diese Möglichkeit für weniger wahrscheinlich.

Sollten die EU-Datenschutzbehörden zu dem Schluss kommen, dass das Ethikbüro aus ihrer Sicht unwirksam ist, bleibt die TIA (aus ihrer Sicht) so wie heute notwendig – unabhängig vom Angemessenheitsbeschluss (der sich nur auf Übermittlungen gem Privacy Framework Principles). Daten in der Europäischen Union und den Vereinigten Staaten“). Denn der Angemessenheitsbeschluss wird sich voraussichtlich auf Übermittlungen im Rahmen des neuen DPL-Programms erstrecken, das eine Selbstzertifizierung des Datenempfängers in den USA erfordert. Eine solche Zertifizierung wäre für viele Unternehmen eine enorme Belastung, insbesondere für Unternehmen, die keine Dienstleistungen erbringen und daher nicht im Fokus der NSA stehen. Und dann, in diesem unwahrscheinlichen Szenario, würden im Grunde US-Anbieter, von denen wir erwarteten, dass sie zertifiziert werden, etwas von dem neuen EO bekommen. Auch in diesem Fall werden sich die Emittenten zwischen Hammer und Amboss wiederfinden. Die Feststellung der Angemessenheit mag ein gutes Argument für die Wirksamkeit des Ethikbüros sein, wird aber formal nicht außerhalb des Entscheidungsbereichs gelten. Wir hoffen sehr, dass die Datenschutzbehörden diesen konfrontativen Weg nicht beschreiten werden.

Wenn jedoch der Europäische Gerichtshof in einigen Jahren beschließt, über den potenziellen Fall Shrems 3 zu entscheiden, finden wir uns möglicherweise wieder in der aktuellen unglücklichen Situation wieder.

Zu diesem Zweck erwarten wir, dass EDPB einen enormen Druck verspürt, die neue EO als große Chance zu akzeptieren – ohne das Gesicht zu verlieren – die uns alle aus der Ecke geführt hat, wo wir leider die Datenschutzbehörden des Europäischen Wirtschaftsraums manövriert haben . Nach „Shrimis II“. Wenn sie taktisch handeln, bleiben sie entweder vage oder kommen zu dem Schluss, dass es besser ist, sich mit der neuen EO zu befassen, auch wenn es Aspekte gibt, die nicht zufriedenstellend oder ganz offensichtlich sind. Diese wird die „heiße Kartoffel“ an den Europäischen Gerichtshof übergeben.

Rechtliche Herausforderungen

Der Europäische Gerichtshof könnte sich in der gleichen Situation befinden, wenn die NOYB von Max Schrems beschließt, die Übertragung auf der Grundlage des neuen DPF (wie bei „Schrems II“) anzugreifen, was wahrscheinlich einfacher ist, als die Übertragung nach EU-SCC-Recht anzugreifen. Das ganze Thema ist in jedem Fall hochpolitisch, und viele werden die echten und greifbaren Vorteile nicht erkennen, die die gesamte Übung den betroffenen Personen bringen wird. Kritiker der EO weisen natürlich auch zu Recht darauf hin, dass viele Garantien unter der neuen EO unklar bleiben. Einige davon wurden bereits angesprochen, und andere könnten sich in Zukunft stärker auf sie konzentrieren, wie z. B. der EO-Bereich, der auf „Signalintelligenz“ beschränkt ist, ohne den Begriff zu definieren – deckt er wirklich alle Datensätze unter Abschnitt 702 ab? das Foreign Intelligence Surveillance Act?

Daher lautet unser praktischer Rat vorerst, wie gewohnt weiterzumachen, einschließlich der Durchführung von TIAs. Auch wenn die EPDB die EO in Bezug auf die „Schrems II“-Emission für wirksam hält, dürften Emittenten erst in sechs bis zwölf Monaten damit rechnen können, da die EO zunächst in den USA vollzogen werden muss, auch inhaltlich anwendbar erst danach, dass die Vereinigten Staaten die Europäische Union bzw. die Schweiz als „eligible country“ anerkennen. Derzeit bietet EO weder eine Rechtsgrundlage für den Verzicht auf TIAs noch erfordert es eine Änderung.

Wir erwarten von den europäischen Datenschutzbehörden keine nennenswerten Durchsetzungsmaßnahmen gegen die Übermittlung von Daten in die USA, mit Ausnahme der sichtbaren Anwendungsfälle ausgewählter großer Technologieunternehmen wie Google, Meta, Microsoft oder AWS (aber aus irgendeinem Grund nicht dagegen). andere wie Apple oder Oracle!) oder in Fällen, in denen sie dazu mehr oder weniger ‚gezwungen‘ werden. Der Großteil unserer aktuellen Kundenarbeit mit TIAs konzentriert sich jedoch nicht auf die Übertragung von Daten in die Vereinigten Staaten, sondern in andere Länder der Welt, von denen viele problematischere gesetzliche Zugangsgesetze haben als die in den Vereinigten Staaten.