USA bieten kein angemessenes Schutzniveau für Daten aus der Schweiz und der EU:
was bedeutet das für Unternehmen, und welche Lösungen gibt es?

Die USA bieten zur Zeit kein angemessenes Schutzniveau für Daten aus der Schweiz und der EU. In diesem Beitrag analysieren wir die rechtliche Situation und bewerten mögliche Lösungen.

Europäischer Gerichtshof erklärt «Privacy Shield»-Abkommen für ungültig

Die veränderte Rechtsprechung ist die Folge eines Urteils des europäischen Gerichtshof (EuGH) vom Juli 2020, in dem die Richter das «Privacy Shield»-Abkommen zwischen der EU und den USA für ungültig erklärt hatten.

Die Begründung hat es in sich: Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Mass begrenzt. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen.

EuGH-Urteil auch für die Schweiz anwendbar

Das Urteil betraf zunächst nur die EU. Nach vertiefter Analyse schloss sich kürzlich auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte nach einer vertieften Analyse dem Urteil der EU-Richter an. Adrian Lobsiger sieht diesbezüglich keinen Unterschied in der Interpretation zwischen dem EU-Recht und dem Schweizer Recht (hier seine ausführliche Stellungnahme als PDF).

Damit Unternehmen aus der Schweiz oder der EU dennoch weiter Daten in die USA transferieren dürfen, brauchen sie sogenannte Standardvertragsklauseln (SCC). Aber auch dann bleiben Risiken.

Standardvertragsklauseln schützen nicht

Die Standardvertragsklauseln sind zwar laut EuGH weiterhin rechtmäßig, aber nur, wenn Exporteure und Empfänger der Daten ein ebenso hohes Datenschutzniveau wie in der EU garantieren können. Das Problem: Daten, die bei Anbietern in den USA landen, fallen unter die dortigen Überwachungsgesetze.

Die Datenweitergabe an US-Unternehmen unter den Standardvertragsklauseln kann also faktisch nicht gemäss der EuGH-Entscheidung funktionieren, weil die US-Datenschutzgesetze viel lascher sind als die europäischen.

Aus diesem Grund verklagt die NGO von Max Schrems aktuell 101 Unternehmen in der EU, die weiterhin Daten an die USA übermitteln.

Mögliche Lösungen

a) Verschlüsselung

Eine Lösung scheint nach derzeitiger Rechtslage eine Ende-zu-Ende-Verschlüsselung sensibler Daten mit einem starken Algorithmus zu sein. Dadurch liesse sich ein wirksamer Schutz der Daten auch bei Übermittlung in die USA gewährleisten.

Das erfordert natürlich eine erhöhte technologische Kompetenz auf Seiten der Exporteure. Und: es ist nur eine Frage der Zeit, bis jede Verschlüsselung durch leistungsfähigere Computer geknackt werden wird.

b) Lokales Hosting

Der sicherste Weg ist, möglichst gar keine Daten in die USA zu transferieren. Daher solltest Du regelmässig prüfen, wo von Dir genutzte Dienste ihre Daten speichern.

Für unsere Tools bei Friendly hosten wir alle Daten ausschliesslich auf dedizierten Servern in der Schweiz oder in Deutschland / EU (nach Wahl).

P.S. Wir bauen Friendly als profitables und langfristiges Unternehmen auf. In unserem Newsletter dokumentieren wir diesen Weg und teilen Erkenntnisse zum Thema Marketing. Begleitete uns gerne!