Europäische Datenschutz-Grundverordnung: neue Rechtslage für Schweizer Exporteure
Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.
Anlass dieses Urteils war der Rechtsstreit von Maximilian Schrems, Jurastudent in Österreich, mit der irischen Aufsichtsbehörde aufgrund der Übermittlung von Personendaten durch Facebook ohne vorliegende Einwilligung der betroffenen irischen Bürger zum Mutterkonzern in die USA. Ein Aussetzen von Datentransfers durch Behörden ist durch das Urteil ab sofort möglich. Die Geldbusse für Facebook bleibt abzuwarten.
Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.
Die Kernaussage:
- Die DSGVO findet Anwendung in den USA und in einem Drittland, in dem es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff auf Personendaten durch die Geheimdienste dieses Landes kommt. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden. Dazu könnte am 1.1.2021 auch UK gehören.
- Das Privacy Shield der USA (vergleichbar mit dem Angemessenheitsbeschluss der EU-Kommission über ein EU-adäquates Datenschutzniveau) ist ab sofort ungültig.
- Die sogenannten Standard Security Clauses (SSC) sind weiterhin gültig, aber ggfs. nur mit zusätzlichen Sicherheitsmassnahmen. In einer Einzelfallprüfung durch den Datenimporteur/-Exporteur muss geprüft werden, ob im Zielland ein der EU gleichwertiges Datenschutzniveau besteht.
Zur internationalen Übermittlung von Personendaten zählen u.a. auch Kreditkartendaten, z.B. aus dem Onlineshop, insbesondere aber auch Daten in der Cloud, sofern der Anbieter in den USA oder in einem anderen Drittland ansässig ist.
Der EuGH entscheidet nicht für die Schweiz. Aber, für exportorientierte Unternehmen in der Schweiz bedeutet dies, wie bereits auch vor Safe Harbor, dass sie Exporte von Personendaten aus der Schweiz oder Europa identifizieren und dokumentieren müssen, die sie in Drittstaaten ohne Angemessenheitsbeschluss transferieren. Hinzu kommt die Prüfung aller Datentransfers auf ein der EU gleichwertiges Datensicherheitsniveau, aber auch, ob ein Datenzugriff auf Rechenzentren stattfinden kann und die Datentransfers innerhalb der gesamten Supply Chain.
Festzustellen ist, ob Datentransfers nur auf dem Privacy Shield oder den SSC basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Das Risiko ist die Aussetzung des Datentransfers, aber auch eine Busse der Aufsichtsbehörde von max. 250‘000 CHF, die an den CEO adressiert wird und ein Strafregistereintrag, der 20 Jahre nicht löschbar ist. Das muss nicht sein – wir unterstützen Sie! Rufen Sie uns an T. 079 348 55 63.