Trans-Atlantic Data Privacy Framework

Okt 17, 2022

Dieser Beitrag wurde am 17. Oktober 2022 aktualisiert.

Um was geht es?

Seit dem 16. Juli 2020 ist der Austausch von Daten mit einer gewissen Rechtsunsicherheit verbunden. Der Europäische Gerichtshof (EuGH) hatte im sogenannten Schrems-II-Urteil vom 16. Juli 2020 entschieden, dass das Privacy-Shield-Abkommen ungültig ist. Das Abkommen regelt den Transfer persönlicher Daten von europäischen Unternehmen in die Vereinigten Staaten. Es war der Nachfolger des 2016 abgelösten Safe-Harbor-Abkommens. Mit dem Entscheid war es nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten.

Das Privacy Shield sowie das vorangehende Abkommen Safe Harbor fanden ein Ende aufgrund einer Klage des österreichischen Datenschutzaktivisten Max Schrems. Die entsprechenden Urteile werden deshalb als „Schrems I“ und „Schrems II“ bezeichnet.

 

Was ist bei der Übermittlung von Daten in ein unsicheres Land zu berücksichtigen?

Seit dem 15. Juni 2021 gelten darüber hinaus die neuen EU-Standardvertragsklauseln (EU Standard Contractual Clauses – SCC) für die Übermittlung von personenbezogenen Daten in sogenannte unsichere Drittsaaten, d. h. in Länder ausserhalb der EU bzw. des EWR, welchen von der EU-Kommission kein angemessenes Datenschutzniveau attestiert wird. Inhaltlich neu in den SCC ist insbesondere die Pflicht zur Erarbeitung eines Transfer Impact Assessments. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen. Das Transfer Impact Assessment muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.

Auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln reichen nicht aus, um den Anforderungen des Europäischen Gerichtshofs (EuGH) aus dem Schrems-II-Urteil vom 16. Juli 2020 gerecht zu werden. Auch der EDÖB hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von Personen ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland nach Art. 6 Abs. 2 lit. a DSG, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss.

 

Was ist das Trans-Atlantic Data Privacy Framework?

In einer gemeinsamen Mitteilung äussern sich die USA und die EU am 25. März 2022 dazu, wie es weitergehen soll. Der Datenaustausch soll demnach künftig durch das Trans-Atlantic Data Privacy Framework (TADPF) geregelt werden. Das neue Abkommen soll den freien und sicheren Datenfluss zwischen der EU den USA gewährleisten. Dabei werde es das „Schrems II“-Urteil adressieren, heisst es in der Mitteilung, die sehr sparsam mit Details umgeht.

Die USA und die EU versprechen eine „beispiellose Verpflichtung“, wenn es darum geht, Privatsphäre und Grundrechte vor amerikanischer Überwachung zu schützen. Eine derartige Überwachung sei nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismässig ist. Ein Data Protection Review Court soll als Beschwerdestelle für Europäer und Europäerinnen fungieren. Aufgrund von Auflagen bezüglich der Verarbeitung von Personendaten aus der EU müssen US-amerikanische Firmen eine Selbstzertifizierung absolvieren.

 

Wann tritt das Trans-Atlantic Data Privacy Framework in Kraft?

Am 7. Oktober 2022 unterzeichnete der US-Präsident die Durchführungsverordnung. Dabei handelt es sich um eine interne Richtlinie der US-amerikanischen Bundesregierung. Die Europäische Kommission hat nun an einem Angemessenheitsbeschluss zu arbeiten, der voraussichtlich im Frühjahr 2023 erwartet werden könnte. Ob und wenn ja, wie lange das damit das Problem des bisher unsicheren und risikobehafteten Datentransfers in die USA damit erledigt wäre, bleibt abzuwarten. Noyb kündigte bereits an, gerichtlich gegen den Angemessenheitsbeschluss vorgehen zu wollen, wenn dieser die Executive Order der USA als legitim akzeptiert. Bereits heute werden zwei Themen kritisiert:

 

  • Massenüberwachung

Der EuGH verlangt u.a., dass in den USA eine Überwachung und der damit verbundene Zugriff auf Daten europäischer Bürger/innen verhältnismässig sein müssen. Die neue Durchführungsverordnung enthalte zwar nun den entscheidenden Wortlaut „notwendig“ und „verhältnismässig“, die USA habe allerdings nicht dasselbe Verständnis von Verhältnismässigkeit.

 

  • Rechtsbehelfe der Betroffenen

Obwohl eine der Stellen die Beschwerden entgegennehmen kann, „Data Protection Court“ genannt wird, handele es sich entgegen der Bezeichnung nicht um ein Gericht, sondern um eine Stelle der Exekutiven. Auch das Verfahren vor dem „Data Protection Court“ werfe erhebliche Zweifel an einem effektiven Rechtsschutz auf: Betroffene müssen indirekt über eine Datenschutzbehörde gehen. Ausserdem werden Betroffene weiterhin nicht informiert, ob sie tatsächlich von einer Überwachung betroffen waren:

Es bleibt abzuwarten, wie der neue Angemessenheitsbeschluss der Europäischen Kommission aussehen wird.

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.