«Privacy Shield» ­– das neue Rahmenabkommen mit den USA

Am 12. Juli 2016 hat die Europäische Kommission das Abkommen EU-US-Datenschutzschild (EU-US Privacy Shield) angenommen. An dem Projekt beteiligt sich auch die Schweiz. Mit dem Privacy Shield gelten damit für die schweizerischen Exporte von Personendaten in die USA die gleichen Standards wie für diejenigen aus der EU.

Laut dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bringt der Swiss-US Privacy Shield wesentliche Verbesserungen für die von Datenübermittlungen in die USA betroffenen Personen in der Schweiz, insbesondere im kommerziellen Bereich. Die Datenschutzprinzipien würden von den teilnehmenden Unternehmen stärker beachtet werden. Die US-Behörden würden die Verwaltung und Überwachung verbessern.

Ersatz für Safe Harbor

Das «Framework Privacy Shield» wurde vom US Department of Commerce und der Europäischen Kommission entworfen, um für Unternehmen auf beiden Seiten des Atlantiks die Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten zu garantieren. Der Europäische Gerichtshof hatte am 6. Oktober 2015 C-362 / 14, die Safe-Harbor-Entscheidung der EU-Kommission, für ungültig erklärt.

Das neue Rahmenabkommen entspricht den Vorgaben des EuGH. Es wurden aber bereits von verschiedenen Seiten Klagen gegen das Pricacy Shield eingereicht. Wie erfolgreich diese sein werden, ist noch nicht abzuschätzen. Die US-Regierung gab überzeugende Zusicherungen ab, dass auf die strenge Einhaltung der Datenschutzbestimmungen geachtet wird und die nationalen Sicherheitsbehörden Daten nicht unterschiedslos oder massenhaft überwachen.

Zusätzlich hatte Präsident Obama den Judicial Redress Act unterzeichnet, der EU-Bürgern das Recht garantiert, Datenschutzrechte vor den US-Gerichten geltend zu machen. Betroffenen Personen werden konkrete Instrumente zur Verfügung gestellt, um sich bei zertifizierten US-Unternehmen oder den zuständigen Behörden direkt über Datenbearbeitungen zu informieren und Korrekturen und Löschungen durchzusetzen, siehe unten.

Zusammenarbeit Schweiz – USA

Die Zusammenarbeit zwischen dem US Department of Commerce (DOC) und dem EDÖB wird intensiviert. Der EDÖB wird betroffenen Personen in der Schweiz als Anlaufstelle bei Problemen in Zusammenhang mit Datenübermittlungen in die USA zur Verfügung stehen. Das DOC stellt eine Liste aller zertifizierten Unternehmen auf seiner Webseite zur Verfügung und der EDÖB veröffentlicht einen Link zu dieser Liste sowie zu allen in diesem Zusammenhang relevanten Dokumenten auf seiner Webseite, sobald diese Informationen verfügbar sind.

Der EDÖB publiziert in der Datenschutzverordnung (VDSG Art. 7) eine Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet, die man auch auf der Webseite herunterladen kann. Diese Liste wurde entsprechend angepasst. Der EDÖB wird auf die tatsächliche Praxis und die Rechtsentwicklung achten und behält sich vor, die Liste später zu ändern. Bei seiner Begutachtung berücksichtigt er auch die Rechtsprechung der schweizerischen Gerichte und allenfalls auch der Justiz in der Europäischen Union.

Verwaltung in den USA

Das Datenschutz-Shield-Programm wird von der International Trade Administration (ITA) innerhalb des US Department of Commerce verwaltet. Der Beitritt zum Privacy Shield ist in den USA freiwillig. Um an dem Privacy Shield Framework teilzunehmen, sind die in der USA ansässigen Organisationen verpflichtet, sich jährlich beim Department of Commerce selbst zu zertifizieren und öffentlich zu verpflichten, die Anforderungen des Frameworks einzuhalten.

Gegenüber Organisationen, die eine öffentliche Verpflichtung zur Einhaltung des Abkommens eingehen, kann man dieses nach US-Gesetz durchsetzen, und zwar durch die jeweils zuständige Vollstreckungsbehörde, entweder die US Federal Trade Commission (FTC) oder das US Department of Transportation (DOT). Um sich die Vorteile von Privacy Shield zu sichern, muss eine Organisation eine detaillierte Reihe von Anforderungen auf der Grundlage von Datenschutzgrundsätzen erfüllen. Auf der amerikanischen Webseite findet man einen Leitfaden für den Selbstzertifizierungsprozess.

EU-Recht

Für Unternehmen in der EU sind die Grundsätze des Privacy Shield im Wesentlichen in der Datenschutz-Grundverordnung festgelegt, aber sie haben umgekehrt folgende Rechte.

• Informationsrecht: Dieses Recht bezieht sich auf Angaben wie den Verwendungszweck und die Weitergabe der Personaldaten.
• Zweckgebundenheit: Im Grunde kann eine Privacy-Shield-Firma personenbezogene Daten nur zu dem Zweck nutzen, für den sie sie ursprünglich gesammelt hat oder den die Berechtigten nachträglich genehmigt haben. Wenn man Daten für einen anderen Zweck verwenden will, hängt das davon ab, wieweit das von dem ursprünglichen Zweck abweicht.
• Datensparsamkeit: Es sollen so wenige Daten wie möglich genützt werden und nur zum Zweck und während der Zeit, in der sie gebraucht werden.
• Datensicherheit: Jedes Unternehmen muss sicherstellen, dass personenbezogene Daten abgesichert sind gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung oder Zerstörung.
• Strenge Bedingungen für den Austausch der Daten mit Drittunternehmen: Unternehmen, an die Daten weitergeleitet werden, müssen das gleiche Mass an Schutz der persönlichen Daten wie der ursprüngliche Partner gewährleisten und sich ebenfalls dem Privacy Shield Framework anschliessen.
• Recht auf Auskunft und Korrektur: Betroffene haben das Recht auf Auskunft, für welche Zwecke ein Unternehmen ihre Daten verarbeitet. Sind diese unkorrekt oder veraltet, müssen sie korrigiert, geändert oder gelöscht werden.
• Beschwerderecht: Wenn Unternehmen nicht den Regeln des Privacy Shield folgen und ihre Verpflichtung zum Schutz der persönlichen Daten verletzen, haben die Betroffenen das Recht zur Beschwerde und Anrecht auf eine kostenfreie Korrektur.

Tipps für Unternehmen

Empfehlungen des DSÖB

• Schweizer Unternehmen können bei der Datenübermittlung an amerikanische Unternehmen nur von den erleichterten Bedingungen profitieren, wenn letztere für den Swiss-US Privacy Shield zertifiziert sind und den EDÖB demzufolge als Aufsichtsorgan anerkennen. Eine Zertifizierung für den EU-US Privacy Shield genügt nicht.
• Bevor Schweizer Unternehmen Perso-nendaten an amerikanische Unternehmen übermitteln, müssen sie prüfen, ob diese für den Swiss-US Privacy Shield zertifiziert sind. Das DOC bietet eine Suchfunktion an (Klick auf«Advanced»).
• Im privatrechtlichen Bereich können sich nur Unternehmen zertifizieren lassen, die der Aufsicht der Federal Trade Commission (FTC) und des Department of Transportation (DOT) unterstehen.
• Banken, Versicherungen sowie Telekommunikationsunternehmen können sich in der Regel nicht zertifizieren lassen. Dann sind Verpflichtungen über Datenschutz und Sicherheit im Vertrag zu vereinbaren.
• Die Unternehmen in der Schweiz müssen das EU-Recht beachten, vor allem die neue Datenschutz-Grundverordnung.

Empfehlungen aus den USA

• Unternehmen benötigen eine Datenschutz-Shield-konforme Datenschutzerklärung, die auf der Webseite leicht zu finden sein muss. Die Datenschutzerklärung sollte die Angebote für Einzelpersonen in Bezug auf die Nutzung und Offenlegung ihrer persönlichen Daten enthalten.
• Nach amerikanischen Angaben muss die Datenschutzerklärung einen Hyperlink zur Privacy Shield Website (www.privacyshield.gov) anbieten. Weiter ist ein Hyperlink auf die Website des un-abhängigen Regress-Mechanismus vorgeschrieben.
• Das Unternehmen muss eine Kontaktstelle für die Behandlung von Fragen, Beschwerden oder Zugriffsanforderungen sowie alle anderen Fragen, die sich aus dem Privacy Shield ergeben, zur Verfügung stellen.
• Das Vollstreckungs- und Haftungsprinzip des Abkommens erfordert, dass Organisationen und Unternehmen schon vor der Selbstzertifizierung eine unabhängige Be­schwerdestelle (recourse mechanism) einrichten. Die Dienstleistung muss für die Betroffenen kostenlos sein. Ausserdem muss die Datenschutzerklärung über den Kontakt zur Beschwerdestelle informieren.
• Organisationen, die sich unter Privacy Shield selbst zertifizieren, können Streitbeilegungsprogramme des privaten Sektors nutzen, z. B. den Council of Better Business Bureaus (BBB), TRUSTe, die American Arbitration Association (AAA), JAMS und die Direct Marketing Association (DMA).