Datenverkehr zwischen der Schweiz und den USA: Schweizer Unternehmen stehen unter Zugzwang

1. Worum geht es beim Swiss-US Privacy Shield? 
Beim Privacy Shield (Datenschutzschild) handelt es sich um eine formelle Absprache zwischen der Europäischen Union bzw. der Schweiz und den Vereinigten Staaten. Im Kern geht es um ein Selbstzertifizierungsprogramm der USA, bei dem US-Unternehmen versprechen, sich an den Datenschutz nach europäischem beziehungsweise Schweizer Standard zu halten. Auf dieser Grundlage durften bislang Personendaten an US-Amerikanische Cloud-Unternehmen übermittelt werden. 

2. Warum wurde das Abkommen gekündigt? 
Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 die Privacy Shield Vereinbarung zwischen den USA und der EU mit sofortiger Wirkung für ungültig erklärt. Der EuGH begründet seinen Entscheid dahingehend, dass personenbezogene Daten von EU/CH Bürgern in den USA nicht ausreichend vor den US-Behörden geschützt sind. So hätten zum Beispiel die US-Geheimdienste zu weitreichende Befugnisse, um auf Datenbestände von EU/CH Bürgern unkontrolliert zuzugreifen. Möglich macht das unter anderem der «US-Cloud Act (Clarifying Lawful Overseas Use of Data Act) ». Dabei handelt es sich um ein Gesetz, das US-Firmen dazu verpflichtet, den Behörden auch dann Zugriff auf gespeicherte Daten von EU/CH-Bürgern zu gewährleisten, wenn die Speicherung nicht in den USA sondern in der EU oder der Schweiz erfolgt. «Dieser Entscheid des EuGH hat schwerwiegende Auswirkungen sowohl auf die über 5'000 US-Amerikanischen Cloud-Unternehmen, die sich unter dem Privacy Shield zertifizieren liessen», sagt dazu der Datenschutz-Experte und Basler IT-Unternehmer Christopher Knabe. Dazu gehören Dienstleister wie zum Beispiel Microsoft Azure, Office 365, Teams, Amazon Web Services, Mailchimp und viele weitere. «Betroffen sind aber auch die Europäischen bzw. Schweizer Unternehmen, die personenbezogene Daten von EU/CH-Bürgern an diese Unternehmen zur Bearbeitung transferiert haben», so Knabe. 

3. Welche Folgen hat der Entscheid des Europäischen Gerichtshofes für die Schweiz? 
In der Folge des Entscheids des EuGH äusserte sich auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zum Thema. Wie der EDÖB im September 2020 mitteilte, bietet das Privacy Shield zwischen der Schweiz und den USA auch nach Auffassung des EDÖB «kein adäquates Datenschutzniveau». Die aktuellen Entwicklungen deuten darauf hin, dass eine Verarbeitung von Schweizer Personendaten von Unternehmen aus der Schweiz in den USA gestützt auf dem Swiss-US Privacy Shield in sehr naher Zukunft nicht mehr möglich sein wird. Schweizer Unternehmen dürfen aufgrund der Kündigung des EU/USA Privacy Shields bereits heute keine personenbezogenen Daten mehr mit US-Amerikanischen Cloud-Unternehmen verarbeiten.

4. Welche Firmen sind betroffen?
Der Fall erfasst alle Schweizer Unternehmen, die personenbezogene Daten von Schweizer- oder EU-Bürgern in der Cloud von US-amerikanischen Cloud Unternehmen verarbeiten. Da heute immer mehr Schweizer Unternehmen auf solche Dienste setzen, nimmt die Zahl der genutzten Applikationen fortlaufend zu. Dies stellt alle Schweizer Unternehmen vor eine erhebliche Herausforderung – denn letztlich spielt es keine Rolle, wo der Server des Cloud-Anbieters physisch steht. Solange der Anbieter durch US-amerikanische Shareholder dominiert ist, gilt es als ein US-Unternehmen und unterliegt damit dem US-CLOUD Act, der sämtliches Schweizer- oder Europäisches Datenschutzgesetz überschreibt. Der US-CLOUD Act zwingt die amerikanischen Cloud Anbieter, die personenbezogenen Daten unter gewissen Bedingungen an US-Behörden zu übermitteln – und das ganz egal, wo ihre Server in der Welt platziert sind. 

5. Was können Schweizer Unternehmen konkret tun?
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte rät zu einer intensiven Risikoanalyse. Schweizer Unternehmen, die US-Cloud Anbieter einsetzen, müssen umgehend abklären, ob die Anbieter Personendaten in die USA übermitteln oder dort speichern – und auf welcher gesetzlichen Grundlage sie dies tun. Basiert der Datentransfer in die USA auf der Swiss-US Privacy Shield Regelung, muss die Datenverarbeitung auf eine neue Grundlage gestellt werden. Dabei gilt es zu beachten, dass der US-CLOUD Act die Cloud-Anbieter dazu zwingt, die Daten geheim an die US-Behörden zu übergeben. «Es ist also damit zu rechnen, dass die US-Unternehmen nicht ehrlich auf die Fragen der Risikoanalyse von Schweizer Unternehmen antworten dürfen», sagt Christopher Knabe. «Die USA kann faktisch nicht mehr als Land angesehen werden, in das Datentransfer sicher und legal geschehen kann», spricht der Datenschutz-Experte Klartext. Insofern seien zusätzliche Garantien vorzusehen, die die US-Unternehmen aber nicht geben können, oder aber der Datentransfer mit sofortiger Wirkung auszusetzen. Im Grunde muss das Schweizer Unternehmen nun selbständig jeden genutzten US-Cloud Anbietern auf Datenschutz hin zertifizieren. «Die meisten Unternehmen werden bei diesem Prozess vollständig überfordert sein, die Standardvertragsklauseln bei den US-Cloud Anbietern einzuführen und/oder auch nachzuhalten», so Knabe. 

6. Welche Alternativen gibt es?
Gerade für Cloud-Dienstleistungen bieten eine Reihe namhafter Schweizer Unternehmen sichere und qualitativ hochwertige Alternativen zu den US-Anbietern an. Schweizer Unternehmen, die personenbezogene Daten bis heute noch im Ausland lagern, sind aufgrund der aktuellen Entwicklung mehr oder weniger gezwungen eine Risikoanalyse durchzuführen, und je nach Resultat der Analyse auf einen Schweizer Anbieter möglichst mit Datenstandort Schweiz oder EU auszuweichen. Beispiele für Cloud-Anbieter aus der Schweiz sind zum Beispiel die Swisscom, die Netrics Basel AG oder auch das Unternehmen Green.