Der Swiss-U.S. Privacy Shield ("Datenschutzschild") bietet einen rechtlichen Rahmen für die Übermittlung von Personendaten aus der Schweiz in die USA. Ein Instrument, das in Zeiten der Digitalisierung der Wirtschaft unerlässlich ist.
In einer immer stärker vernetzten Wirtschaft gewinnt die Übertragung von Daten an Bedeutung. Als Rahmen für diesen Austausch haben sich die Behörden in der Schweiz und den USA auf ein Instrument mit dem Namen "Swiss-US Privacy Shield" geeinigt. Ein "Schutzschild", der sich für Unternehmen, die ihre administrative Belastung im Zusammenhang mit der Einführung von Datenschutzmassnahmen reduzieren wollen, als besonders nützlich erweist, wie Hervé Lohr, Ressortleiter Amerika beim SECO, erklärt.
Was ist der "Swiss-US Privacy Shield"?
Hervé Lohr: Es handelt sich um ein Instrument, das einen rechtlichen Rahmen für die Übertragung von personenbezogenen Daten aus der Schweiz in die USA bietet, ohne dass dafür zusätzliche vertragliche Garantien erforderlich sind. Das Ziel ist, eine übermässige administrative Belastung zu vermeiden. Als Vorbild diente ein ähnliches Abkommen zwischen der Europäischen Union und den USA.
Warum ist es wichtig, den Transfer von personenbezogenen Daten zu regeln?
Lohr: Informationen wie ein Geburtsdatum, der Familienstand oder der Einkaufskorb in einem Online-Shop erlauben es, daraus Schlüsse über eine bestimmte Person zu ziehen. Es sind also personenbezogene Daten, die einen hohen rechtlichen Schutz geniessen, damit Missbrauch verhindert und die Privatsphäre gewahrt werden kann. In der Digitalwirtschaft werden diese Daten nun ständig über Landesgrenzen hinweg übermittelt, insbesondere da sich der internationale Handel intensiviert. Zwischen der Schweiz und den USA erreicht dieser gegenwärtig ein Jahresvolumen von CHF 120 Milliarden. Und das Schweizer Recht verlangt, dass der Datentransfer ins Ausland ein angemessenes Schutzniveau bietet. Hier kommt der Privacy Shield ins Spiel.
Inwiefern ist dieser rechtliche Rahmen für die Schweizer KMU von Bedeutung?
Lohr: Der Privacy Shield ist für die kleinen und mittleren Unternehmen von besonderem Interesse, denn er ist weniger komplex als die typischen Vertragsklauseln. Das wird übrigens auch durch die hohe Zahl der zertifizierten KMU auf amerikanischer Seite bestätigt.
Können Sie kurz schildern, was zur Einführung des Privacy Shields geführt hat?
Lohr: Da die gesetzlichen Bestimmungen in den USA aus Schweizer Sicht keinen angemessenen Datenschutz bieten, wurde im Februar 2009 ein Abkommen mit dem Namen "Safe Harbor" geschlossen, wodurch der Datenverkehr zwischen den schweizerischen und US-amerikanischen Handelsunternehmen geregelt wurde. Im Zentrum dieses Verfahrens stand eine freiwillige Selbstzertifizierung beim US-Handelsministerium, durch die sich die Unternehmen verpflichteten, sich den juristischen Prinzipien von Safe Harbor zu unterwerfen. Die EU verfügte seit dem Jahr 2000 über ein ähnliches Regime.
Im Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) das bestehende Instrument für ungültig. Es war in zweierlei Hinsicht problematisch: Zum einen war dem EuGH zufolge die Nutzung der Personendaten durch die amerikanischen Behörden aus Gründen der nationalen Sicherheit nicht mit der Grundrechtecharta der EU vereinbar. Zum anderen verfügten betroffene Personen nicht über ausreichende Rechtsmittel, um sich gegen eine unerlaubte Nutzung ihrer Personendaten zu wehren. Nach dieser Entscheidung hob der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hervor, dass Safe Harbor ebenfalls keine hinreichenden juristischen Garantien bietet.
Im Juli 2016 schlossen die EU und die USA ein neues Abkommen, das diese Fragen regelte. Um eine Gleichbehandlung zu gewährleisten, führte die Schweiz Gespräche mit den USA, die 2017 im Swiss-US Privacy Shield mündeten. Dieser unterscheidet sich vom vorherigen Regime durch vier wesentliche Punkte: klare Richtlinien für die zertifizierten Unternehmen im Hinblick auf die Speicherung der Daten und deren Weitergabe an Dritte, einen vom US-Handelsministerium gesteuerten Überwachungsmechanismus, die Einführung eines Schlichtungsorgans für Verstösse gegen den Privacy Shield und schliesslich eine Ombudsstelle, die Fragen im Zusammenhang mit dem Zugriff der US-amerikanischen Nachrichtendienste auf die Daten behandelt.
Welches Profil haben die amerikanischen Unternehmen, die für den Swiss-US Privacy Shield zertifizieren sind?
Lohr: Knapp 74% von ihnen sind KMU. Sie decken viele verschiedene Branchen ab. Konkret sind 58% der Firmen in den Informationstechnologien tätig. Es folgen Unternehmensdienstleistungen (16%), Gesundheit (6%), Medien und Unterhaltungsindustrie (3,5%), Bildung (2,9%) und der Finanzsektor (2,6%). Gegenwärtig sind mehr als 3'700 Unternehmen für den Swiss-US Privacy Shield registriert. Zum Vergleich: Für das entsprechende Instrument zwischen der EU und den USA sind mehr als 5'300 Firmen angemeldet. Und die Neuanmeldungen erfolgen nach wie vor in einem engen Takt.
Was müssen die amerikanischen Firmen tun, um die Zertifizierung zu erhalten?
Lohr: Sie müssen auf freiwilliger Basis bestimmte Massnahmen ergreifen. Die Zertifizierung beim Handelsministerium ist ein Jahr gültig und muss dann von den Unternehmen erneuert werden, was 90% von ihnen tun. Mit dieser Zertifizierung und der Anerkennung der Prinzipien des Privacy Shield gehen die Firmen eine rechtsverbindliche Verpflichtung ein. Verstösse können von den amerikanischen Behörden verfolgt werden. Darüber hinaus wird die Einhaltung der Kriterien regelmässig durch das US-Handelsministerium mit Hilfe diverser Kontrollmechanismen überprüft.
Um dieses Projekt zu begleiten, wurde in der Schweiz eine Kontaktgruppe eingerichtet. Mit welchen Zielen?
Lohr: Die Gruppe wurde Ende 2018 gegründet, um den Dialog zwischen den Schweizer Unternehmen und der Bundesverwaltung in Bezug auf den transatlantischen Datenverkehr zu organisieren. Heute gehören ihr 13 in der Schweiz ansässige Unternehmen an. Die Gruppe dient drei Hauptzwecken. Erstens dem Informationsaustausch über die Themen des Privatsektors im Hinblick auf die jährliche Überprüfung des Privacy Shield. Zweitens ermöglicht sie eine Vernetzung von Experten aus dem privaten und dem öffentlichen Sektor, die ein Interesse am grenzüberschreitenden Datentransfer im Allgemeinen haben. Und schliesslich lässt sich dank der gesammelten Informationen die Funktionsweise des Privacy Shield verbessern. Da es sich um eine offene Gruppe handelt, können uns interessierte Unternehmen gern kontaktieren und wir beantworten dann all ihre Fragen.
Sie wollen mehr erfahren?
Kontaktieren Sie bwam@seco.admin.ch
Zur Person/Firma
Hervé Lohr ist stellvertretender Leiter des Leistungsbereichs Bilaterale Wirtschaftsbeziehungen und Ressortleiter Amerika beim SECO. Er schloss ein Lizenziat in Rechtswissenschaft an der Universität Neuenburg und einen LL.M. in internationalem Wirtschaftsrecht an der Universität Zürich ab und ist heute für die Handels- und Investitionsbeziehungen zwischen der Schweiz und Amerika zuständig.
Letzte Änderung 03.06.2020
