Regulatory & Compliance

Rahmenbedingungen für die Datenbekanntgabe ins Ausland

Von:
Boris Hofer,
Yasmine Schwager
3. Oktober 2024Lesezeit 4 Min.
insight featured image
Das revidierte Schweizer Datenschutzgesetz (DSG) ist seit dem 1. September 2023 in Kraft. Viele Finanzdienstleister haben in der Zwischenzeit die neuen Vorschriften umgesetzt. Teilweise bestehen Unsicherheiten bezüglich der Übermittlung von Personendaten ins Ausland. Nichtsdestotrotz sind zahlreiche Unternehmen auf ausländische (insbesondere amerikanische) Softwarelösungen angewiesen. Was beinhaltet die neue Regelung zum Datenaustausch zwischen der Schweiz und den USA und was sind deren Auswirkungen? Und was sind die Voraussetzungen für die Übermittlung von Personendaten in die EU und andere Drittländer? Im nachfolgenden Beitrag haben wir für Sie die wichtigsten Fakten zusammengefasst.
Inhalt

Einordnung der Neuerungen1

Tabelle eu klein

 

Grundsatz

Personendaten dürfen grundsätzlich2 nur dann ohne Zusatzmassnahmen an einen Empfänger im Ausland übermittelt werden, wenn im Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist. Der Bundesrat legt im Anhang zur Verordnung zum Datenschutzgesetz fest, welche Länder diese Voraussetzung erfüllen. Erfasst sind beispielsweise Deutschland, Argentinien und das Vereinigte Königreich.

 

Europäische Union (EU)

Der Bundesrat stuft die Datenschutz-Grundverordnung (DSGVO) der EU als gleichwertig mit dem schweizerischen Datenschutzgesetz ein. Entsprechend werden die EWR-Mitgliedstaaten auf der Liste der anerkannten Länder im Anhang 1 der Datenschutzverordnung aufgeführt und ein Datenexport in diese Länder ist grundsätzlich ohne weitere Schutzmassnahmen möglich.

 

USA

Der Bundesrat hat am 14. August 2024 beschlossen, dass unter dem sogenannte Swiss-U.S. Data Privacy Framework Personendaten ohne zusätzliche Garantien an Empfängerinnen in die USA übermittelt werden können.

Voraussetzung dafür ist, dass die jeweilige Empfängerin nach dem CH-U.S. Data Privacy Framework zertifiziert ist. Damit werden für Schweizer Unternehmen ähnliche Bedingungen wie in der EWR geschaffen, denn diese hat das EU-U.S. Data Privacy Framework bereits im Juli 2023 eingeführt.

Eine CH-U.S. Data Privacy Zertifizierung gewährleistet die Einhaltung der vorgeschriebenen Datenschutzmassnahmen und -garantien. Bereits diverse amerikanische Unternehmen wie Microsoft und Google haben sich nach dem Framework zertifizieren lassen. Eine Liste der angeschlossenen Akteure ist unter dem Link «Data Privacy Framework» verfügbar.

Die CH-U.S. Data Privacy Framework Zertifizierung ermöglicht somit, Daten ohne zusätzliche Standardvertragsklauseln oder Transfer Impact Assessments in die USA zu übertragen. Trotzdem spricht aber nichts dagegen den Datentransfer zusätzlich durch Standardvertragsklauseln abzusichern. In jedem Fall empfehlen wir, sich die Zertifizierung sowie deren Aufrechterhaltung durch den Datenempfänger vertraglich garantieren zu lassen.

 

Alternative Schutzmechanismen

Liegt für ein Land kein Angemessenheitsbeschluss vor oder ist ein Unternehmen unter dem CH-U.S. Privacy Framework nicht zertifiziert, kann ein Transfer dennoch zulässig sein, wenn ein geeigneter Datenschutz garantiert wird. Häufig geschieht dies durch Standarddatenschutzklauseln3 und Datenschutzklauseln in spezifischen Verträgen4.

Der geplante Datentransfer sollte jeweils detailliert erfasst werden damit eine sachdienliche Basis für dessen Einschätzung vorliegt.

Kumulative Garantien

Zum Schutz der betroffenen Personen, muss bei der Übermittlung von Daten in ein Land ohne Angemessenheitsbeschluss des Bundesrates zusätzlich sichergestellt werden, dass die nachfolgend aufgeführten schweizerischen Grundrechtsgarantien im Empfängerland bestehen:

  • Legalitätsprinzip: Es müssen klare, präzise und zugängliche Regeln bestehen, die die behördlichen Befugnisse und Zugriffe auf Daten regeln.
  • Verhältnismässigkeit: Die Massnahmen der Behörden müssen geeignet, erforderlich und für die Betroffenen zumutbar sein, um die gesetzlichen Zwecke zu erfüllen.
  • Rechtsmittel: Betroffene müssen über wirksame gesetzliche Rechtsmittel zur Durchsetzung ihrer Rechte verfügen.
  • Schutz vor Willkür: Eingriffe in die Privatsphäre und informationelle Selbstbestimmung müssen einer wirksamen unabhängigen und unparteiischen Stelle unterliegen.

Der Datenexporteur darf bei der Überprüfung dieser Garantien nicht nur auf Aussagen des Datenimporteurs vertrauen.

Unabhängig davon, ob die vier Garantien eingehalten werden können, muss der Datenexporteur vor dem Datentransfer ins Ausland eine detaillierte und auf den Einzelfall bezogene Analyse durchführen.

Um sämtliche nötige Abklärungen vorzunehmen, muss eine gründliche Prüfung der im Empfängerland geltenden Datenschutzgesetze und ihrer Umsetzung sowie Durchsetzung in der Praxis vorgenommen werden. Bei fehlendem Knowhow können unabhängige Rechtsgutachten eingeholt werden, um die rechtliche Situation im Empfängerland umfassend zu bewerten. Die Analyse sollte sich auf objektive rechtliche und faktische Gegebenheiten stützen. Subjektive Faktoren wie die Wahrscheinlichkeit eines unrechtmässigen Zugriffs auf die Daten im Empfängerland sollten in der Regel nicht berücksichtigt werden.

Allfällige zusätzliche Massnahmen

Falls die vier oben genannten Garantien im Empfängerland nicht gewährleistet sind, müssen ersatzweise zusätzliche Massnahmen getroffen werden. Es muss verhindert werden, dass Behörden auf die übermittelten Personendaten Zugriff erlangen können. Eine Anwendung einer solchen Massnahme wäre beispielsweise eine wirksame Verschlüsselung der Daten. Anderseits sind vertragliche Regelungen allein nicht ausreichend, da sie für Behörden in Drittstaaten nicht bindend sein müssen. Nach der Implementierung der erforderlichen zusätzlichen Massnahmen muss der verantwortliche Datenexporteur regelmässig die tatsächlichen und rechtlichen Bedingungen überprüfen.

Umsetzung

Sofern ein angemessenes Datenschutzniveau auch ohne zusätzliche Massnahmen erreicht wird, kann die Übertragung der Daten (mit periodischer Überprüfung) nach Abschluss der vertraglichen Regelung und vorgängiger Analyse erfolgen. Gelingt die Umsetzung von allenfalls notwendigen zusätzlichen Massnahmen, kann der Datentransfer nach erfolgter vertraglicher Regelung, vorgängiger Analyse sowie Umsetzung der zusätzlichen Massnahmen (mit periodischer Überprüfung) erfolgen.

 

Fazit & Ausblick

Obwohl der neue Datenschutzrahmen mit dem Swiss-U.S. Data Privacy Framework Erleichterung bringt, bleiben die Anforderungen an eine Datenübermittlung ins Ausland hoch. Unternehmen haben sicherzustellen, dass sie die rechtlichen Rahmenbedingungen einhalten, insbesondere bei Transfers von Personendaten in Länder ohne angemessenes Datenschutzniveau. Dabei sind sowohl vertragliche Garantien als auch zusätzliche Schutzmassnahmen entscheidend, um den Datenschutz zu gewährleisten. Regelmässige Überprüfungen und bei Bedarf Anpassungen der getroffenen Massnahmen sind unerlässlich, um die Einhaltung der Datenschutzanforderungen langfristig sicherzustellen und rechtliche Risiken damit zu begrenzen.

 

Haben Sie Fragen zum Datenschutzgesetz und/oder zu Datenbekanntgaben ins Ausland? Gerne unterstützen Sie unsere Spezialisten vom Regulatory & Compliance FS Team. Wir freuen uns auf Ihre Kontaktaufnahme.


 

[1] Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll.  Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.
[2] Sofern keine gesetzliche Ausnahme wie beispielsweise die ausdrückliche Einwilligung der betroffenen Person besteht.
[3] Standarddatenschutzklauseln können von privaten, öffentlichen Stellen oder vom EDÖB erarbeitet werden. Sie können nach einmaliger Genehmigung vom EDÖB frei und ohne Mitteilung verwendet werden. 
[4] Vertragspartner können in einem spezifischen Vertrag separate Datenschutzklauseln vereinbaren. Diese Klauseln müssen dem EDÖB vor dem jeweiligen Transfer ins Ausland mitgeteilt werden.

TAGS  
AUTOREN