Nach dem Ende von Privacy Shield: Wie können amerikanische Internet-Dienste weiterhin genutzt werden?

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Datenschutzpartner AG / Steiger Legal AG

Google Analytics auf der Website, Newsletter-Versand mit Mailchimp, Video-Konferenzen mit Zoom: Wer sich im digitalen Raum bewegt, nutzt fast immer zahlreiche amerikanische Internet-Dienste.

Wer solche und andere Dienste im Internet nutzt, bearbeitet zwangsläufig Personendaten. Google Analytics erfährt zwangsläufig die IP-Adressen von Website-Besuchern. Mailchimp zum Beispiel kann keine Newsletter versenden, ohne die E-Mail-Adressen und damit Personendaten der E-Mail-Empfänger zu kennen. Zoom nimmt Bild- und Ton auf, damit sich die Teilnehmer einer Video-Konferenz sehen und hören können.

Inhalt

• Wichtigste Regel: Angemessener Datenschutz beim Daten-Export
• Angemessener Datenschutz: Mit welchen Staaten ist freier Datenverkehr möglich?
• USA: Welche Bedeutung hatte der Privacy Shield?
• Daten-Export: Wie funktioniert die Absicherung mit Standardvertragsklauseln?
• Absicherung: Was sind die Alternativen zu Standardvertragsklauseln?
• Daten-Export: Was gilt gemäss Datenschutz-Grundverordnung (DSGVO)?
• Schritt für Schritt: So kann der Daten-Export abgesichert werden

Wichtigste Regel: Angemessener Datenschutz beim Daten-Export

Bei der Bearbeitung von Personendaten muss (selbstverständlich) das anwendbare Datenschutzrecht eingehalten werden. In der Schweiz ist das Datenschutzgesetz (DSG) anwendbar, im Europäischen Wirtschaftsraum (EWR) einschliesslich der Europäischen Union (EU) sowie Island, Liechtenstein und Norwegen die Datenschutz-Grundverordnung (DSGVO).

Dabei kennen sowohl das schweizerische als auch das europäische Datenschutzrecht verschiedene Voraussetzungen, unter denen die Bearbeitung von Personendaten im Ausland erlaubt ist.

«Angemessener Schutz» bedeutet, dass die Grundsätze des schweizerischen DSG eingehalten werden, betroffene Personen ihre Rechte wirksam wahrnehmen können – unter anderem das Recht auf Auskunft – und dass vor Ort im Ausland eine unabhängige Datenschutz-Aufsichtsbehörde besteht.

Angemessener Datenschutz: Mit welchen Staaten ist freier Datenverkehr möglich?

Wer Daten exportiert, also beispielsweise einen Internet-Dienst im Ausland nutzt, muss prüfen, ob im betroffenen Ausland ein angemessener Datenschutz gewährleistet ist. Dabei kann man sich erst einmal auf die Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) abstützen:

Gemäss der Staatenliste besteht insbesondere in folgenden Staaten ein angemessener Datenschutz:

• Europäischer Wirtschaftsraum (EWR)
• Grossbritannien
• Israel
• Kanada
• Neuseeland

Dadurch ist die Nutzung von Internet-Diensten und der sonstige Daten-Export in diese Staaten datenschutzrechtlich grundsätzlich unproblematisch, sofern auch ansonsten das Datenschutzrecht eingehalten wird.

Ungenügend hingegen ist der Datenschutz unter anderem in den USA, aber beispielsweise auch in Bosnien und Herzegowina, im Kosovo, in Montenegro, in Russland und in Serbien. Weitere Staaten mit ungenügendem Datenschutz sind China, Hongkong, Indien, Japan, Singapur, Südkorea, Taiwan, Thailand und die Vereinigten Arabischen Emirate.

Siehe auch: Datenübermittlung ins Ausland kurz erklärt (EDÖB)

USA: Welche Bedeutung hatte der Privacy Shield?

Mit dem Privacy Shield bestand für amerikanische Unternehmen die Möglichkeit, freiwillig einen angemessenen Datenschutz gegenüber Personen in Europa zu gewährleisten. Eine entsprechende Absprache bestand sowohl zwischen der EU und den USA als auch zwischen der Schweiz und den USA.

In der Privacy Shield Liste sind über 5’000 teilnehmende Unternehmen eingetragen.

Allerdings erklärte der Europäische Gerichtshof (EuGH), das höchste Gericht der EU, am 16. Juli 2020 mit Urteil C-311/18 «Schrems II» den EU-US-Privacy Shield per sofort für ungültig. In der Schweiz ist der Privacy Shield zwar weiterhin gültig, doch gelangte der EDÖB am 8. September 2020 ebenfalls zum Ergebnis, dass der Privacy Shield «kein adäquates Datenschutzniveau» biete.

Der EuGH stellte fest, dass betroffene Personen, die keine amerikanischen Staatsbürger sind, ihre Rechte gegenüber amerikanischen Behörden nicht wirksam wahrnehmen können. (Wie es darum in Europa steht, prüfte der EuGH nicht …)

Immerhin sehen sowohl das schweizerische als auch das europäische Datenschutzrecht vor, dass der Daten-Export in Staaten ohne angemessenen Datenschutz zulässig ist, sofern er wirksam abgesichert werden kann.

Wer Daten in solche Staaten exportieren möchte, muss prüfen, wie der Datenschutz auf eine andere Art und Weise gewährleistet werden kann. Bei den USA geht es in erster Linie um die Nutzung von Internet-Diensten, bei Staaten auf dem Balkan und in Osteuropa hingegen um das Outsourcing von Software-Entwicklung (sogenanntes Nearshoring).

Daten-Export: Wie funktioniert die Absicherung mit Standardvertragsklauseln?

Im Vordergrund stehen geeignete vertragliche Garantien, die einen angemessenen Schutz im Ausland gewährleisten (Art. 6 Abs. 2 lit. a DSG).

Damit verpflichtet sich der Daten-Importeur – zum Beispiel ein Auftragnehmer in Serbien oder ein Internet-Dienst in den USA –, einen angemessenen Datenschutz gemäss europäischem Standard zu gewährleisten.

Aus schweizerischer und europäischer Sicht sind insbesondere die Standardvertragsklauseln der Europäischen Kommission relevant.

Die Standardvertragsklauseln müssen aber nicht als eigener Vertrag vereinbart werden. Sie können in einen anderen Vertrag integriert werden. Auch können zusätzliche Vereinbarungen getroffen werden, die über die Standardvertragsklauseln hinausgehen.

Alternativ verweist der EDÖB auf den französischsprachigen Mustervertrag des Europarates sowie auf den eigenen englischsprachigen Mustervertrag («Swiss Transborder Data Flow Agreement»).

Der EDÖB und der EuGH hielten nach dem Ende von Privacy Shield ausdrücklich fest, dass Standardvertragsklauseln eine Möglichkeit bleiben, den Daten-Export abzusichern. Sie müssen allerdings wirksame Mechanismen enthalten, die in der Praxis gewährleisten, dass 1) tatsächlich ein angemessener Datenschutz besteht und 2) der Daten-Export ausgesetzt oder unterlassen wird, wenn gegen die vertraglichen Garantien verstossen wird oder ihre Einhaltung nicht gewährleistet ist.

Absicherung: Was sind die Alternativen zu Standardvertragsklauseln?

Es gibt Alternativen zu Standardvertragsklauseln. Dazu zählt insbesondere die aktive und ausdrückliche Einwilligung der betroffenen Personen im Einzelfall nach angemessener Information (Art. 6 Abs. 2 lit. b DSG).

Für eine solche Einwilligung könnte bei einer Website beispielsweise ein Cookie-Banner verwendet werden. Der Daten-Export dürfte (selbstverständlich) erst stattfinden, wenn die Einwilligung erteilt worden ist. Die Einwilligung müsste jederzeit widerrufen werden können. Die Einwilligung könnte nicht pauschal erfolgen, sondern müsste sich insbesondere auf bestimmte Zwecke und Empfänger beschränken.

Auch zulässig ist der Daten-Export im Zusammenhang mit dem Abschluss oder der Abwicklung von Verträgen (Art. 6 Abs. 2 lit. c DSG). Beispiele dafür sind internationaler Tourismus, internationale Transporte und internationaler Zahlungsverkehr.

Weitere Alternativen sind unter anderem die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht (Art. 6 Abs. 2 lit. d DSG) und der Schutz von Leben oder körperlicher Integrität von betroffenen Personen (lit. e) sowie der Daten-Austausch innerhalb von internationalen Unternehmen (lit. g, sogenannte Binding Corporate Rules).

Ob solche Alternativen tauglich sind, muss im Einzelfall geprüft werden. Schweizer Banken scheiterten beispielsweise mehrheitlich beim Versuch, die Lieferung von Bankmitarbeiter-Daten an die USA mit der Ausübung von Rechtsansprüchen vor Gericht zu begründen.

Die Einwilligung im Einzelfall ist zwar denkbar, aber die Hürden, um eine rechtswirksame Einwilligung einzuholen, sind hoch. Weiter schreckt man mit dem Versuch, eine solche Einwilligung einzuholen, allenfalls (zu) viele Website-Besucher ab, genauso wie bereits mit einem (sonstigen) Cookie-Banner.

Siehe auch: Antworten der Europäischen Kommission auf häufig gestellte Fragen

Daten-Export: Was gilt gemäss Datenschutz-Grundverordnung (DSGVO)?

Die europäische DSGVO regelt den Daten-Export wesentlich genauer als das schweizerische DSG. In groben Zügen sind die Voraussetzungen aber gleich:

Wenn im betreffenden anderen Staat kein angemessener Datenschutz gewährleistet ist (Art. 45 DSGVO), muss der Daten-Export mit anderen Mitteln abgesichert werden, in erster Linie mit den Standardvertragsklauseln der Europäischen Kommission (Art. 46 ff. DSGVO). Schliesslich müssen die betroffenen Personen über den Daten-Export informiert werden, was üblicherweise im Rahmen der sowieso erforderlichen Datenschutzerklärung geschieht (Art. 13 u. 14 Abs. 1 lit. f DSGVO).

Die Liste der Staaten, in denen die Europäische Kommission von einem angemessenen Datenschutz ausgeht, ist mit jener der Schweiz weitgehend identisch. Der wesentliche Unterschied liegt darin, dass für Japan zusätzlich ein Angemessenheitsbeschluss der Europäischen Union besteht. Der Datenschutz in Südkorea könnte in Kürze von der Europäische Kommission als angemessen anerkannt werden.

In der Folge müssen sie die DSGVO zumindest teilweise einhalten, häufig aufgrund von vertraglichen Vereinbarungen sogar vollständig.

Siehe auch: Wann gilt die DSGVO / GDPR in der Schweiz und anderswo ausserhalb der EU? (Steiger Legal)

Schritt für Schritt: So kann der Daten-Export abgesichert werden

Nachfolgend zeige ich anhand von fünf Schritten am Beispiel von Zoom, wie der Daten-Export abgesichert werden kann. Spätestens aufgrund der COVID-19-Pandemie dürfte Zoom als Internet-Dienste für Video-Konferenzen inzwischen allgemein bekannt sein.

Schritt 1: Werden Daten in ein Land ohne angemessenen Datenschutz exportiert?

Bei Zoom ist die Antwort einfach, denn es handelt sich bekanntlich um einen amerikanischen Dienst. Und wir wissen bereits, dass die Gesetzgebung in den USA keinen angemessenen Datenschutz gewährleistet.

Im Zweifelsfall findet man Angaben zu Herkunft und Sitz von Internet-Diensten im Impressum und in der Datenschutzerklärung sowie in den Angaben zur Auftragsverarbeitung. Letztere sind wichtig, weil viele Anbieter von Internet-Diensten in der Schweiz und im EWR ebenfalls Daten exportieren, weil sie selbst Dienste im Ausland nutzen.

Es genügt beispielsweise nicht, dass ein amerikanischer Internet-Dienst für Europa durch eine Tochtergesellschaft in Irland angeboten wird oder die Daten in erster Linie im «Datacenter in Frankfurt» liegen, wenn die Daten dann doch in den USA bearbeitet werden.

Im Zweifelsfall muss man einzeln beim jeweiligen Datenschutzbeauftragten oder – falls nicht vorhanden – beim Support nachfragen.

Bei Zoom findet man den Einstieg über die Seite Datenschutz und Sicherheit für Zoom Video Communications». Dort wird unter anderem auf die Datenschutzerklärung verlinkt.

Die Liste der Unterauftragsverarbeiter führt Zoom auf der Seite «Subprozessoren». Der Liste kann man beispielsweise entnehmen, dass Zoom unter anderem Unterauftragsverarbeiter in Malaysia und auf den Philippinen einsetzt. Wer prüfen möchte, wie auskunftsfreudig Zoom ist, fragt per E-Mail an privacy@zoom.us nach, wie Zoom den Daten-Export in diese Staaten ohne angemessenen Datenschutz absichert.

Schritt 2: Wie kann der Daten-Export abgesichert werden?

Bei Internet-Diensten stehen wie erwähnt Standardvertragsklauseln im Vordergrund. Bei einem Internet-Dienst wie Zoom käme auch die Einwilligung im Einzelfall in Frage, weil es möglich ist, von den Teilnehmern von Video-Konferenzen eine solche Einwilligung einzuholen.

In vielen Fällen ist das vorgängige Einholen einer Einwilligung aber nicht realistisch oder wünschenswert. Wer beispielsweise Google Workspace (ehemals G-Suite) oder Microsoft 365 nutzt, wird schwerlich alle betroffenen Personen um ihre Einwilligung bitten können. Auch wäre es anspruchsvoll, mit dem Widerruf einer solchen Einwilligung umzugehen.

Das gilt auch für Zoom, wo man in der Datenschutzerklärung im Abschnitt «Internationale Transfers» einen ersten entsprechenden Hinweis findet. Der Auftragsverarbeitungsvertrag («Global Data Processing Addendum») von Zoom enthält dann entsprechende Bestimmungen.

In Bezug auf die USA müssen bestehende Standardvertragsklauseln zum Teil ergänzt werden, um zusätzliche Garantien zum Schutz vor amerikanischer Massenüberwachung zu schaffen.

Geprüft werden sollte immer auch, ob das Datenschutzrecht im Allgemeinen eingehalten wird. So kann man mit einem Blick auf die Datenschutzerklärung prüfen, ob ein Internet-Dienst, der behauptet, die DSGVO einzuhalten, über die erforderliche EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO verfügt. Zoom nennt in der Datenschutzerklärung einen «EU Representative» in Irland, womit die DSGVO in diesem Punkt erfüllt wird.

Aber Vorsicht, viele Internet-Dienste nutzen wie erwähnt Unterauftragsvearbeiter in den USA und in anderen Staaten ohne angemessenen Datenschutz!

Je nach Internet-Dienst gibt es allerdings gar keine Alternative, die in Frage kommt. Gerade amerikanische Dienste sind deshalb häufig erfolgreich, weil sie funktional ihrer Konkurrenz in Europa und anderswo deutlich überlegen sind. Die einfache und zuverlässige Durchführung von Webinaren mit hunderten von Teilnehmern beispielsweise ist immer noch ein Alleinstellungsmerkmal von Zoom.

Schritt 3: Beruft sich der Internet-Dienst immer noch auf das Privacy Shield?

Einige amerikanische Internet-Dienste berufen sich immer noch auf das Privacy Shield. Wenn das der Fall ist, sollte der Internet-Dienste nicht mehr verwendet werden. Das Gleiche gilt, wenn ein Internet-Dienst nicht von sich aus seinen Kunden in Europa hilft, den Daten-Export abzusichern.

Zoom hatte beispielsweise in einem Blog-Eintrag vom 28. Juli 2020 auf das EuGH-Urteil reagiert und auf die vorhandenen Standardvertragsklauseln verwiesen.

Schritt 4: Wie gross ist das Risiko für betroffene Personen?

Standardvertragsklauseln haben einen entscheidenden Nachteil: Sie sind für die Behörden im Staat, wo ein Internet-Dienst sitzt, nicht verbindlich. Auch wenn beispielsweise Zoom im Rahmen von Standardvertragsklauseln geeignete vertragliche Garantien abgibt, werden sich amerikanische Behörden nicht daran halten.

Betroffene Personen sind jene Personen, deren Daten exportiert werden, bei Zoom beispielsweise bei der Durchführung von Video-Konferenzen. Es geht aber auch darum, mit welchen Überwachungsmassnahmen zu rechnen ist und welche Schutzmassnahmen ein Anbieter trifft.

Diese Risikoprüfung ist aufwendig, wenn man sie gründlich durchführt. Hilfreich sind beispielsweise die Empfehlungen der Non-Profit-Organisation noyb, welche das EuGH-Urteil gegen den Privacy Shield erwirkt hatte. nyob hat – umfangreiche! – Musterfragebögen veröffentlicht.

Bei Video-Konferenzen ist zwar mit Überwachungsmassnahmen zu rechnen, da es sich um einen Kommunikationskanal handelt, doch bei einem öffentlich ausgeschriebenen Webinar dürfte das Risiko für die betroffenen Personen gering sein. Hingegen sollten sich beispielsweise Personen in der Schweiz, die in ein Verfahren gegen Behörden in den USA verwickelt sind, nicht ohne weiteres über Zoom mit ihren Rechtsanwälten austauschen.

Das Risiko für die betroffenen Personen kann man teilweise selbst durch geeignete Einstellungen beschränken. So ist es bei Zoom möglich, die verwendeten Datacenter-Regionen zu beschränken und die Teilnahme im Browser ohne App zu fördern. Zoom ist daran, Ende-zu-Ende-Verschlüsselung für Video-Konferenzen einzuführen.

Leider ist die erforderliche Risikoprüfung für viele Laien und KMU kaum zu leisten. Es ist zu hoffen, dass Internet-Dienste – auch Zoom – in dieser Hinsicht ihre Unterstützung verbessern werden. Je mehr allgemeine Informationen ein Internet-Dienst von sich aus liefert, desto weniger Aufwand müssen einzelne Nutzer betreiben.

Die Prüfung kann je nach Einzelfall unterschiedlich ausfallen. Es ist deshalb nicht möglich, einen Internet-Dienst wie Zoom datenschutzrechtlich pauschal für zulässig (oder unzulässig) zu erklären. Auch besteht bei amerikanischen Diensten seit dem «Schrems II»-Urteil immer ein datenschutzrechtliches Risiko.

Schritt 5: Genügt die Absicherung oder muss eine Alternative gesucht werden?

Wenn die Prüfung insgesamt so ausfällt, dass ein angemessener Datenschutz gewährleistet ist, kann man den Internet-Dienst vorläufig als «abgesichert» betrachten und auf Zusehen hin nutzen.

Eine solche Prüfung sollte alle sechs bis zwölf Monate stattfinden, besser alle drei Monate. In vielen Fällen wird man den Internet-Dienst weiterhin nutzen können, aber zum Beispiel die Datenschutzerklärung anpassen müssen, weil sich einzelne Angaben geändert haben.

Es kann aber genauso sein, dass sich früher oder später ein Daten-Export in die USA und andere Staaten ohne angemessenen Datenschutz selbst mit Standardvertragsklauseln nicht mehr ausreichend absichern lässt. So stellt sich die Datenschutz-Aufsichtsbehörde in Baden-Württemberg bereits heute auf den Standpunkt, die Nutzung amerikanischer Internet-Dienste sei nur noch zulässig, wenn es keine zumutbare Alternative ohne Daten-Export-Problematik gäbe.

Wenn man aufgrund der Prüfung davon ausgeht, dass kein angemessener Datenschutz gewährleistet ist, sollte eine Alternative gemäss Schritt 2 gesucht werden.

Wer risikobereit ist, kann sich dafür entscheiden, den geprüften Internet-Dienst trotzdem zu nutzen. Gründe dafür können sein, dass der Internet-Dienst für die eigenen Aktivitäten sehr wichtig ist, während gleichzeitig das Risiko für Sanktionen durch Datenschutz-Aufsichtsbehörden gering erscheint. Ob ein solches Risiko eingegangen werden soll, muss im Einzelfall und in eigener Verantwortung entschieden werden.

In vielen Fällen wird man dieses Risiko nur zeitlich beschränkt eingehen wollen, zum Beispiel in der Hoffnung auf eine Nachfolge-Regelung für das Privacy Shield oder um in aller Ruhe nach einer akzeptablen Alternative suchen zu können.

Siehe auch: Privacy Shield ungültig: Was bedeutet das EuGH-Urteil für Unternehmen in der Schweiz? (Steiger Legal)

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.