Der Bundesrat hat an seiner heutigen Sitzung entschieden, dass per 15. September 2024 Daten von der Schweiz an zertifizierte Unternehmen bekanntgegeben werden dürfen.
Damit folgt die Schweiz mit dem Swiss-U.S. Data Privacy Framework der EU, die bereits vor einem guten Jahr mit dem EU-U.S. Data Privacy Framework den Grundstein gelegt hat. Die Europäische Kommission hatte im Juli 2023 entschieden, dass Personendaten von der EU in die USA wieder ohne zusätzliche Massnahmen übermittelt werden dürfen, wenn das die Daten empfangende US-Unternehmen unter dem EU-US Data Privacy Framework zertifiziert ist.
Zum Hintergrund
Gemäss schweizerischem Datenschutzgesetz dürfen Personendaten nicht ohne Weiteres ins Ausland bekannt gegeben werden, wenn im Empfängerland kein angemessener Datenschutz von Gesetzes wegen gewährleistet ist. Fehlt eine Gesetzgebung, die einen angemessenen Datenschutz gewährleistet, dürfen Personendaten nur unter bestimmten Voraussetzungen ins Ausland bekannt gegeben werden, u.a. wenn durch einen Vertrag einen hinreichenden Datenschutz sichergestellt wird (z.B. durch die sog. Standardvertragsklauseln und ein sog. Transfer Impact Assessement durchgeführt wurde) oder die betroffenen Personen im Einzelfall einer Datenbekanntgabe eingewilligt hat.
Die USA hat aus der Sicht der Schweiz wie auch aus der Sicht der EU grundsätzlich keine Gesetzgebung mit einem angemessenen Datenschutz. Deshalb dürfen Personendaten nicht ohne Weiteres an Unternehmen in den USA bekanntgegeben werden (z.B. im Rahmen von Cloud-Services mit Serverstandorten in den USA).
Die Liste der Länder mit angemessenem Datenschutz wird als Anhang 1 zur Datenschutzverordnung geführt.
Das EU-US Data Privacy Framework
Die EU und die USA haben sich bereits letztes Jahr über das sog. Trans-Atlantic Data Privacy Framework geeinigt (hier mehr dazu lesen). Nun hat die Europäische Kommission über den entsprechenden Angemessenheitsbeschluss entschieden. D.h. dass eine Datenbekanntgabe an Unternehmen in den USA, die sich unter dem Data Privacy Framework zertifizieren, ohne weitere Massnahmen erfolgen kann. Hierzu gibt es eine öffentliche Datenbank (Data Privacy Framework List), aus welcher ersichtlich ist, welche US-Unternehmen entsprechend zertifiziert sind.
Gilt das Data Privacy Framework nun auch für die Schweiz?
Ja. Seit heute, 14. August 2024 wissen wir, dass mit dem sogenannten Swiss-U.S. Data Privacy Framework künftig Personendaten aus der Schweiz ohne zusätzlichen Garantien an zertifizierte Unternehmen in den USA übermittelt werden dürfen.
Der Bundesrat wird die Liste der Länder mit angemessenem Datenschutz entsprechend anpassen (Anhang 1 der Datenschutzverordnung). Die entsprechenden Änderungen gelten ab dem 15. September 2024.
Was es noch zu wissen gilt
Vor dem Data Privacy Framework gab es bereits vergleichbare «Vorgänger», nämlich «Safe Harbor» und «Privacy Shield». Beide Möglichkeiten wurden – forciert durch entsprechende Gerichtsverfahren des österreichischen Juristen und Datenschutzaktivisten Max Schrems – vom Europäischen Gerichtshof (EuGH) als ungültig erklärt. Die Schweiz hatte sich in den Beurteilungen jeweils der EU-Meinung angeschlossen.
Herr Max Schrems hat bereits letztes Jahr angekündigt, dass ein weiteres Gerichtsverfahren so gut wie sichere Sache ist. Auf der Seite von noyb wird er wie folgt zitiert: "Wir haben bereits verschiedene juristische Optionen in der Schublade, obwohl wir dieses juristische Ping-Pong satt haben. Wir gehen derzeit davon aus, dass die Sache Anfang nächsten Jahres wieder vor dem Europäischen Gerichtshof landen wird. Der Gerichtshof könnte dann sogar das neue Abkommen während des Verfahrens aussetzen."
Mehr erfahren
- Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge
Haben Sie Fragen?
Gerne beantworten wir Ihre individuellen Fragen zum Datenschutz und unterstützen Sie bei der konkreten Umsetzung. Buchen Sie gerne ein kostenloses Erstgespräch.
______
コメント