Worum geht es?
Die EU-Kommission hat die Möglichkeit, das Bestehen eines angemessenen Schutzniveaus in einem bestimmten Drittland festzustellen. Ein angemessenes Schutzniveau besteht dann, wenn in dem Drittland auf Grundlage seiner innerstaatlichen Rechtsvorschriften und deren Anwendung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie seiner eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, welches dem in der Datenschutz-Grundverordnung (DSGVO) gewährten Schutzniveau gleichwertig ist.
Die Schweiz ist weder EU – noch EWR -Mitglied und damit ein Drittstaat. Bei der Übermittlung von Nutzerdaten in ein Nicht-EU/EWR-Land muss laut DSGVO ein sogenanntes angemessenes Datenschutzniveau gewahrt werden, das heisst, ein Schutzniveau, das demjenigen der DSGVO entspricht.
Für die Schweiz liegt ein Angemessenheitsbeschluss der EU-Kommission aus dem Jahre 2000 vor, welcher der Schweiz ein der EU gleichwertiges Datenschutzniveau attestiert. Dieser erfolgte noch aufgrund der alten Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Dieser galt auch unter der DSGVO weiter.
Die EU-Kommission muss allerdings die bestehenden Angemessenheitsentscheidungen regelmässig überprüfen.
Was hat die EU nun festgestellt?
Mit Bericht vom 15. Januar 2024 hat die EU festgestellt, dass die Schweiz auch gestützt auf die DSGVO über ein angemessenes Datenschutzniveau verfügt. (Medienmitteilung)
Dieser Entscheid der EU-Kommission wurde mit Spannung erwartet.
Was sind die Konsequenzen des EU-Angemessenheitsbeschlusses?
Mit dem Beschluss anerkennt die Kommission die Angemessenheit des aktuellen Datenschutzrechts der Schweiz. Das Schweizer Datenschutzgesetz genügt also den Anforderungen, die der EuGH 2015 in Schrems I gesetzt und in Schrems II konkretisiert hatte.
Ohne bestehenden Angemessenheitsbeschluss hätte der Datenverkehr zwischen der Schweiz und der EU/dem EWR im Einzelfall mit geeigneten Garantien abgesichert werden müssen.
Für welche anderen Länder gelten Angemessenheitsbeschlüsse?
Die Datenschutz-Grundverordnung sieht eine Fortgeltung der bereits erlassenen Angemessenheitsbeschlüsse vor (Art. 46 Abs. 5 S. 2 DSGVO). Solche bestehen für die folgenden Länder:
- Andorra
- Argentinien
- Färöer-Inseln
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Kanada (nur für kommerzielle Organisationen)
- Neuseeland
- Republik Korea (Südkorea)
- Schweiz
- Uruguay
- Vereinigtes Königreich
Die jeweils aktuelle Liste der Länder finden Sie auf der Internetseite der EU-Kommission.
Gilt auch die USA als Land mit angemessenem Datenschutzniveau?
Am 10. Juli 2024 hat die Europäische Kommission den Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA – EU-U.S. Data Privacy Framework (EU-U.S. DPF) – angenommen. Datenexporteure aus der EU haben jedoch zu beachten, dass kein generelles angemessenes Datenschutzniveau für Übermittlungen an Organisationen in den USA vorausgesetzt werden kann. Sie müssen zunächst vorab prüfen und sicherstellen, dass die Organisation, an die übermittelt wird, unter dem EU-U.S. DPF zertifiziert ist. Andernfalls sind weitere Übermittlungsinstrumente oder zusätzliche Massnahmen erforderlich. Eine Liste der zertifizierten Stellen ist auf der Website des U.S. Department of Commerce veröffentlicht.
Nachdem bereits die vorangegangenen Angemessenheitsbeschlüsse der Europäischen Kommission („Safe Harbor-Abkommen“ und „EU-US Privacy Shield“) gerichtlich überprüft wurden, ist damit zu rechnen, dass der Europäische Gerichtshof auch über die Rechtmässigkeit der EU-U.S. DPF entscheiden wird.
Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.
