Schrems II/Facebook-Fall und die Auswirkungen für die Nutzung von Cloudapplikationen die sich auf das «Privacy Shield» berufen
Mehr als die Hälfte der Weltbevölkerung nutzt in irgendeiner Weise Online-Services und verfügt somit über einen digitalen Fussabdruck. Dieser wiederum wird auf der Basis von besuchten Webseiten, versendeten Emails sowie durch das Verwenden von Online-Diensten generiert. Bewusst und/oder unbewusst hinterlassen wir Spuren, welche Rückschlüsse auf unsere Person ermöglichen.
Durch das Besuchen und Verwenden von Online-Diensten akzeptieren wir die Nutzungsbedingungen (AGBs) der entsprechenden Anbieter, welche je nach Herkunft und Rechtslage auf das EU/CH-U.S Privacy Shield verweisen.
Was ist das «EU-U.S. Privacy Shield»
Der EU-US Privacy Shield ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, welches zwischen 2015 und 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Die Vereinbarung besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Angemessenheitsbeschluss der EU-Kommission.
Kurzum regelt die Absprache den Schutz personenbezogener Daten, welche aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.
Quelle: Wikipedia
Wie das EU-U.S. Privacy Shield, hat auch die Schweiz ein entsprechendes Abkommen mit den USA (Swiss-U.S. Privacy Shield). Auf der Webseite des Privacy Shield Frameworks, die vom U.S. Department of Commerce verwaltet wird, sind die Firmen ersichtlich, welche von diesem Abkommen profitieren.
Am 16. Juli 2020 hat der EU-Gerichtshof (EuGH) in einem Urteil, auch als Schrems II bekannt (Fall C-3111/18), das Privacy Shield Abkommen als ungültig erklärt, da das US-Recht den Schutz personenbezogener Daten aus EU-Staaten nicht angemessen gewährleistet. Dieses Urteil hat zur Folge, dass aus EU-Datenschutzsicht die USA zu einem nicht-adäquaten Land eingestuft wurde, was den US-Handelsunternehmen es verbietet Daten mit personenbezogenem Inhalt entsprechend zu übermitteln bzw. zu speichern.
Welche Bedeutung hat dies für die Schweiz?
Zur Beantwortung dieser Frage verweisen wir auf den Blogbeitrag von Caroline Danner (Rechtsanwältin und Inhaberin der ONLAW GmbH), welcher am 30. Juni 2020 veröffentlicht wurde:
«Das Urteil des EuGH ist für die Schweiz nicht direkt anwendbar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) prüft das Urteil und wird sich zu gegebener Zeit äussern. Bis dahin gelten die bisherigen Regeln, gemäss deren ein Datentransfer von der Schweiz an ein gemäss CH/US Privacy Shield zertifiziertes US-Unternehmen grundsätzlich zulässig ist.
Das Urteil des EuGH kann für Schweizer Unternehmen dennoch direkte Folgen haben, wenn dieses Schweizer Unternehmen der Datenschutz-Grundverordnung (DSGVO/GDPR) untersteht, z.B. wenn Niederlassungen in der EU bestehen.»
Des Weiteren empfiehlt Sie Schweizer Unternehmen:
«Haben Sie einen genauen Überblick über Ihre Daten? Welche Daten werden wo basierend auf welcher Grundlage gespeichert?
Falls Sie diese Fragen nicht spontan mit einem klaren JA und konkreten Angaben beantworten können, empfehle ich Ihnen, sich damit auseinander zu setzen – und zwar schon vor einer Stellungnahme des EDÖB zum CH/US Privacy Shield. Warum? Aktuell wird das Schweizer Datenschutzgesetz revidiert. Spätestens bei dessen Inkrafttreten – man geht aktuell von 2021 aus – werden Sie die Fragen klar beantworten können müssen. Das revidierte Datenschutzgesetz sieht nicht nur verschiedene Pflichten für Verantwortliche vor, eine Verletzung einiger Pflichten werden mit Busse bestraft werden können, so z.B. die unrechtmässige Bekanntgabe von Daten ins Ausland oder die Verletzung der Dokumentationspflicht. Die Auseinandersetzung mit genannten Fragen dürfte für Sie also nicht «verlorene Zeit» sein, vielmehr verschaffen sich Sich etwas mehr Zeit bei der Vorbereitung auf das revidierte Datenschutzgesetz.»
Vorzüge der Cloud aber sicher
CAPTx ist ein starker Befürworter der Cloud bzw. von cloudbasierten Services. Um diese aber langfristig sorgenfrei zu nutzen, empfehlen wir kritische Daten wie z.B. personenbezogene- und Firmendaten, welche in der Cloud gespeichert werden vor Dritten jeglicher Art zu schützen. Als Lösungsansatz dient die Verschlüsselung, wobei gilt: Verschlüsselung ist nicht gleich Verschlüsselung und Bedarf einer genauen Analyse und Konzept im Vorfeld.
Stellungnahme von Michael Hoos CEO der e3 CSS AG:
"Seit Jahren müssen sich Unternehmen mit immer mehr regulativen Anforderungen auseinandersetzen. Und kaum hat man gedacht, dass man sie im Griff hat, werden sie einkassiert, verschärft oder neue Regeln aufgestellt. Mit Centraya bieten wir Unternehmen einen Weg, Daten zu verschlüsseln, bevor sie in der Cloud landen. Damit bekommenUnternehmen ihre eigenen Daten wieder unter Kontrolle, erfüllen die rechtlichen Vorgaben und können die Cloud nutzen - aber sicher."