Zertifizierte US-Unternehmen bieten ein angemessenes Datenschutzniveau für Personendaten
Länder mit einem angemessenen Datenschutzniveau
Personendaten dürfen nur dann ohne zusätzliche Garantien ins Ausland übermittelt werden, wenn im Empfängerstaat ein angemessenes Datenschutzniveau besteht. Der Bundesrat stellt jeweils fest, ob die Gesetzgebung des betreffenden Staates einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 DSG). Die entsprechenden Länder werden auf einer Liste in Anhang 1 der Datenschutzverordnung publiziert (Anhang 1 DSV).
Swiss-U.S. Data Privacy Framework
Gemäss der Medienmitteilung des Bundesrates vom 14. August 2024 (Medienmitteilung) kommt der Bundesrat aufgrund einer Beurteilung des Bundesamtes für Justiz zum Schluss, dass das neue Swiss-U.S. Data Privacy Framework zwischen der Schweiz und den USA einen angemessenen Schutz für die Übermittlung von Personendaten an zertifizierte US-Unternehmen bietet.
Die Zertifizierung für US-Unternehmen und ein neues US-Datenschutzgericht (hier abrufbar: https://www.dataprivacyframework.gov/) erlauben künftig die Übermittlung von Personendaten aus der Schweiz an zertifizierte Unternehmen in die USA ohne zusätzliche Garantien. Mit der Zertifizierung für US-Unternehmen wird sichergestellt, dass die vorgesehenen Datenschutzmassnahmen und Datenschutzgarantien eingehalten werden. Die Unternehmen dürfen die Daten allerdings nur für diejenigen Zwecke bearbeiten, für die sie erhoben worden sind. Die Weitergabe an Dritte – wie beispielsweise an nicht zertifizierte Unternehmen – ist nicht zulässig. Beim Zugang durch US-Behörden auf Personendaten, die von der Schweiz bekanntgegeben werden, sind verschiedene Garantien – insbesondere ein Beschwerdemechanismus – vorgesehen.
Das Swiss-U.S. Data Privacy Framework ermöglicht somit einen sicheren Austausch von Personendaten zwischen der Schweiz und den zertifizierten US-Unternehmen, weshalb der Bundesrat die USA auf die Liste der Länder mit einem angemessenen Datenschutzniveau setzt. Der Bundesrat hat die entsprechende Änderung der Datenschutzverordnung an seiner Sitzung vom 14. August 2024 genehmigt und die USA in diesem Umfang auf die Liste der Länder mit angemessenem Datenschutz gesetzt. Die entsprechende Änderung der Datenschutzverordnung wird am 15. September 2024 in Kraft treten.
Fazit
Mit dem sogenannten Swiss-U.S. Data Privacy Framework werden Datentransfers an zertifizierte US-Anbieter rechtlich vereinfacht, da ein angemessenes Datenschutzniveau angenommen wird. Insbesondere für KMU wird dadurch die Aufnahme neuer Geschäftsbeziehungen erleichtert.
Die EU und die USA haben bereits im Juli 2023 das EU-U.S. Data Privacy Framework in Kraft gesetzt. Mit dem Swiss-U.S. Data Privacy Framework schafft der Bundesrat nun die gleichen Rahmenbedingungen für Privatpersonen und Unternehmen in der Schweiz. Es bleibt jedoch abzuwarten, ob Max Schrems, welcher bereits die früheren Regelungen auf EU-Ebene – Safe Harbor und der EU-US Privacy Shield – zu Fall brachte (Chronologie betr. Schrems I und II), den EU-Transfermechanismus anfechten wird. Die negativen EU-Urteile hinsichtlich der früheren EU-Regelungen führten jeweils dazu, dass die äquivalente Schweizer Regelung ebenfalls nicht mehr als angemessen betrachtet worden ist.
Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.