Seit Mitte September soll der Austausch von Personendaten zwischen der Schweiz und zertifizierten US-Firmen sicher sein. Dies sagt nicht der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb), sondern der Bundesrat. Er hat einen neuen «Datenschutzrahmen» mit den USA unterzeichnet, dessen Inhalt schnell zusammengefasst ist: Es ist eine Kopie des Vertrags, den die EU 2023 mit den USA geschlossen hatte. Die Erwartungen aus der Wirtschaft hätten die Schweiz in Zugzwang gebracht, sagt Tobias Naef, Datenschutzbeauftragter der Stadt Winterthur.
Der Bundesrat setzt im neuen Vertrag die USA ebenfalls auf die Liste der Länder mit einem angemessenen Datenschutzniveau. Mit dem «Swiss-US Data Privacy Framework» können Personendaten aus der Schweiz «ohne zusätzliche Garantien» an zertifizierte Firmen in den USA übermittelt werden, schreibt das Bundesamt für Justiz. Dies stösst unter Datenschutzrechtlern auf Kritik.
Im Jahr 2020 entschied der Europäische Gerichtshof (EuGH), dass das zweite «Privacy Shield»-Abkommen zwischen der EU und den USA ungültig sei. Das Abkommen regelte den Transfer persönlicher Daten von europäischen Firmen in die USA. Es war der Nachfolger des 2016 abgelösten «Safe Harbor»-Abkommens.
Der EuGH kritisierte wie beim ersten Abkommen vor allem mögliche Datenzugriffe durch US-Nachrichtendienste. Beide Abkommen landeten nach einer Klage des österreichischen Datenschutzaktivisten Max Schrems vor Gericht. Die Urteile werden deshalb als Schrems I und Schrems II bezeichnet.
2020 stellte der eidgenössische Datenschützer Adrian Lobsiger analog zum Schrems-II-Urteil des EuGH fest, dass das «Privacy Shield»-Rahmenwerk trotz der Gewährung besonderer Schutzrechte für Betroffene in der Schweiz kein adäquates Schutzniveau für Datentransfers von der Schweiz in die USA bietet.
Bereits zuvor hatte er in einem Bericht die Mechanismen des «Swiss-US Privacy Shields» kritisiert. In den USA fehle ein direkt durchsetzbarer Rechtsanspruch für Schweizer Betroffene. Es gebe zwar einen Ombudsmechanismus, um Datenbearbeitungen zu kontrollieren. Doch dabei untersuche lediglich eine Drittperson die Bearbeitung, was intransparent und nicht überprüfbar sei.
Abkommen kollidiert mit Schweizer Datenschutzgesetz
Weiter rügte der Edöb, dass die Kompetenzen der Ombudsperson gegenüber den US-Nachrichtendiensten unbelegt blieben. Das Fehlen von Garantien bei Grundrechtseingriffen sei mit dem schweizerischen Datenschutzgesetz nicht vereinbar.
Fragt man Lobsiger heute, was er vom neuen Datenschutzrahmen zwischen der Schweiz und den USA hält, verweist er auf den Bundesrat und das Bundesamt für Justiz. Der Edöb darf zum Beschluss des Bundesrats nichts sagen, weil das Parlament ihm diese Kompetenz nahm: Seit Inkrafttreten des neuen Datenschutzgesetzes Ende September 2023 liegt die Zuständigkeit zur Beurteilung der Angemessenheit des Datenschutzes ausländischer Staaten und Organisationen beim Bundesrat.
In der Vernehmlassung kritisierte unter anderem die Piratenpartei, die Übertragung dieser Kompetenz an den Bundesrat könne zu «politisch motivierten Entscheidungen» führen. Die Kritik stiess im Parlament auf taube Ohren. Die Schweiz macht es heute wie die EU. Dort entscheidet mit der EU-Kommission die Exekutive über das Datenschutzniveau eines Drittstaats. Bruno Baeriswyl, unabhängiger Datenschutzexperte aus Zürich, sagt denn auch, die «Angemessenheitsdiskussion ist aus Sicht der Exekutive immer auch eine wirtschaftspolitische Diskussion.»
Laut Adrian Lobsiger besteht in Europa ein abgestimmtes System für den grenzüberschreitenden Datenaustausch. Informationen dürften grenzüberschreitend ausgetauscht werden, sobald sie als gleichwertig erklärt werden. Kein Drittstaat, dessen Datenschutzgesetzgebung von der EU als angemessen erklärt worden sei, werde von dieser Linie abweichen, um nicht das System zu destabilisieren. «Dieser Parallelismus ist notwendig – sowohl aus juristischer wie auch aus wirtschaftspolitischer Sicht», sagt Lobsiger.
Der Edöb betont aber: Der neue Datenschutzrahmen bekräftige keine Gleichwertigkeit des Datenschutzes in Bezug auf die USA als Land. «Lediglich für zertifizierte Unternehmen in den USA gilt der Datenexport als angemessen.»
Baeriswyl formuliert es ähnlich: Der rechtliche Rahmen bleibe in den USA gleich, der Datenschutzrahmen ändere nichts daran. «Der rechtliche Rahmen in den USA entspricht kaum unserem Grundrechtverständnis in Europa.» In erster Linie sei das Rahmenabkommen ein «Bürokratieabbau» mit einem «hinkenden Rechtsbehelf». Inhaltlich unterscheide es sich kaum vom vorherigen «Swiss-US Privacy Shield». Baeriswyl bezweifelt, dass damit tatsächlich ein gleichwertiges Datenschutzniveau erreicht werde. «Der neue Rahmen setzt stark auf die Selbstzertifizierung von Unternehmen. Das bedeutet, dass sie einfach erklären, den Datenschutz einzuhalten.»
Die grösste Gefahr für den Datenschutz in den USA stellt der «Foreign Intelligence Surveillance Act» dar. Dieses Gesetz erlaubt es den US-Geheimdiensten, elektronische Kommunikation ausserhalb der USA nahezu uneingeschränkt zu überwachen. Das ermöglicht es den Geheimdiensten, die Inhalte elektronischer Kommunikation von Internetfirmen wie Google, Meta oder Microsoft zu sammeln, zu nutzen und zu verbreiten. Dies kritisierte der EuGH bereits in den Schrems-Urteilen.
USA überwachen Ausländer «praktisch schrankenlos»
Die USA bestätigten Ende April dieses Jahres erneut, dass sie an diesen Überwachungen festhalten. US-Präsident Joe Biden unterzeichnete ein entsprechendes Gesetz. Die Überwachung durch Geheimdienste geniesst in den USA breite parteiübergreifende Unterstützung. Die Daten von Ausländern bleiben schlechter geschützt als jene von Inländern.
Nicht erstaunlich deshalb, wenn Max Schrems auch das aktuelle Abkommen der EU mit den USA kritisiert: «Das angeblich neue transatlantische Datenschutzabkommen ist weitgehend eine Kopie des gescheiterten ‹Privacy Shield›- Abkommens.» Die Behauptung, etwas sei neu, robust oder wirksam, reiche vor dem EuGH nicht aus. Schrems fordert auf der Internetseite seiner Nichtregierungsorganisation Noyb: «Wir würden eine Änderung des US-Überwachungsrechts brauchen – aber das geschieht nicht.»
Das bemängelt auch Datenschützer Tobias Naef: «Die praktisch schrankenlose Überwachung von Leuten ausserhalb der USA findet weiterhin statt. Ohne Rechtsweggarantie gibt es keine grundrechtskonformen Datenflüsse in den USA.»
