Am 1. September 2023 tritt das neue Datenschutzgesetz der Schweiz in Kraft. Dieser Insight legt den Fokus auf die Bestimmungen zum Datentransfer ins Ausland sowie auf die dazu bestehende Rechtsprechung. Weiter wird auch das Gutachten zur Cloudnutzung der Stadt Zürich, welches die Laux Lawyer in deren Auftrag erstellt hatten, besprochen.
Übermittlung personenbezogener Daten im Lichte des neuen DSG
In Art. 9 nDSG äussert sich der Gesetzgeber zur Bearbeitung durch den Auftragsbearbeiter. Als Neuerung zum noch geltenden DSG (geregelt in Art. 10 DSG) wurde in Art. 9 Abs. 3 nDSG festgehalten, dass ein Auftragsbearbeiter nur mit vorgängiger Genehmigung des Verantwortlichen die Datenbearbeitung einem Dritten übertragen darf. Damit wurde dem Umstand Rechnung getragen, dass durch die immer stärkere Vernetzung und der vermehrt arbeitsteilig organisierten digitalen Welt die Datenbearbeitungen durch die Auftragsbearbeiter an weitere Subbearbeiter vergeben werden. Um zu verhindern, dass Datenbearbeitungen ausser Kontrolle geraten, sind die Auftragsbearbeiter bei einer Übertragung der Bearbeitung an Dritte verpflichtet, die Genehmigung des Verantwortlichen einzuholen.
Die bisher in Art. 6 DSG geregelten Grundsätze des Datentransfers ins Ausland finden sich künftig in Art. 16 nDSG wieder. Der Wortlaut hat sich in grundsätzlicher Weise geändert. Bis anhin wurde statuiert, dass Personendaten nicht ins Ausland geliefert werden dürfen, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde. Neu wurde der Wortlaut positiv formuliert. Art. 16 nDSG besagt, dass Personendaten ins Ausland transferiert werden dürfen, sofern der Bundesrat festgestellt hat, dass die Gesetzgebung im Zielland einen angemessenen Schutz gewährleistet. Liegt kein solcher Entscheid des Bundesrates vor, dürfen Personendaten nur in den in Abs. 2 genannten Fällen in Drittländer übermittelt werden. Ein i.S.v. Art. 16 Abs. 2 nDSG geeigneter Datenschutz kann sich beispielweise ergeben aus einem völkerrechtlichen Vertrag (lit. a) oder aus Standarddatenschutzklauseln, welche der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) vorgängig genehmigt, ausgestellt oder anerkannt hat (lit. d). In Art. 17 nDSG werden Ausnahmen statuiert, in welchen Personendaten, abweichend von den Grundsätzen in Art. 16 nDSG, ins Ausland bekannt gegeben werden dürfen.
Rechtsprechung
Im Schrems II-Urteil hat der Europäische Gerichtshof (EuGH) das EU-US-Privacy Shield für ungültig erklärt (EuGH, C-311/18). Der EuGH hat festgehalten, dass ein Datentransfer in Drittstaaten nur erfolgen darf, wenn der Drittstaat über ein angemessenes Datenschutzniveau verfügt, sei es aufgrund einer völkerrechtlichen Vereinbarung oder aufgrund von innerstaatlichem Recht. Fehlt es an einem Angemessenheitsbeschluss, so müssen andere hinreichende Garantien vorliegen. Sog. Standard Contractual Clauses (SCC) können eine hinreichende Garantie darstellen, allerdings nur unter der Prämisse, dass die betroffene Person über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügt. Ist dies nicht der Fall, so ist der Datentransfer nur noch möglich bei Einwilligung nach transparenter Information (vgl. Art. 49 DSGVO).
Auch der EDÖB kam im Zuge des Schrems II-Urteils zum Schluss, dass kein adäquates Schutzniveau besteht für Datentransfers von der Schweiz in die USA. Insbesondere fehlt es in den USA an durchsetzbaren Rechtsansprüchen.
Praxis
Die neuen SCC der EU datieren vom 4. Juni 2021. Sie gelten, mit gleicher Frist, auch in der Schweiz. Allerdings können sie nicht vorbehaltlos übernommen werden, sondern bedürfen einer Anpassung ans Schweizer Recht. Sie ermöglichen, wie bereits angedeutet, einen Datentransfer in einen Drittstaat, der nicht über ein angemessenes Datenschutzniveau verfügt. Sie stellen in der Praxis eines der einfachsten und daher meist genutzten Mittel dar, um solche Datentransfers zu ermöglichen.
Im Gutachten der Laux Lawyer zur Frage der Cloudnutzung der Stadt Zürich stellten sich folgende Fragen: Darf eine Organisationseinheit der Stadt Zürich Public Cloud Services nutzen? Gilt dies auch für Informationen mit erhöhtem Schutzbedarf? Was, wenn der Cloudanbieter einer anderen Rechtsordnung untersteht? Was, wenn Personen aus dem Ausland auf Daten in der Cloud zugreifen können?
Gemäss dem Gutachten dürfen Cloud-Services für alle Informationen zur Aufgabenerfüllung benutzt werden.
Kritik an der Praxis
Die neue Praxis ist nicht über alle Zweifel erhaben. So kritisiert der EDÖB das Gutachten der Laux Lawyer bezüglich Cloud Nutzung der Stadt Zürich, denn für die Nutzung von Cloud-Diensten von US Techfirmen besteht laut EDÖB ein Mangel an Rechtssicherheit, sodass eine Weitergabe von Schweizer Behörden nicht als unproblematisch bezeichnet werden kann. Der Grund, wieso die privaten Gutachter laut ihrem Bericht jedoch gegenteiliger Meinung sind, begründet der EDÖB mit einer leichtgläubigen Haltung gegenüber schwammigen Auskünften der US-Behörden seitens der Gutachter. Dem Fakt, dass US-Geheimdienste auf Daten von US-Techfirmen zugreifen können, wird von Anwaltskanzleien zu wenig Beachtung geschenkt. Die Wahrscheinlichkeit eines solchen Datenzugriffs einer Schweizer Bürgerin durch ein US-Geheimdienst vorherzusagen, ist schwierig, jedoch wird er nach Meinung des EDÖB von den Gutachtern unterschätzt bzw. zu klein gehalten. Öffentliche Organe haben gem. EDÖB eine besondere Verantwortung gegenüber Bürgerinnen und Bürgern und dürfen nicht nur private Gutachter beauftragen, um ein Risiko abzuschätzen.
Die Wahrung der Menschenwürde, rechtsstaatliche Grundsätze, Recht auf Persönlichkeitsschutz sowie der davon abgeleitete Datenschutz spielen hierbei ebenfalls eine besondere Rolle. Diese Grundsätze kommen in Bezug auf Abwehr und Leistungsansprüche einer Privatperson gegen den Staat zum Zuge, jedoch nicht bei staatlichen Schutzpflichten. Es gibt allerdings gute Gründe, das Recht auf Persönlichkeitsschutz und darauf hergeleitet der Datenschutz zu den Abwehransprüchen einer Privatperson gegenüber staatlichen Eingriffen zu zählen.