-
Audit Financial Services
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfung für Banken und andere Finanzunternehmen
-
Audit Industry, Services, Institutions
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfungen für nationale und internationale Geschäftskunden
-
Corporate Tax
Nationale und internationale Steuerberatung und -planung
-
Individual Tax
Individual Tax
-
Indirect Tax/VAT
Unsere Dienstleistungen im Bereich Mehrwertsteuer
-
Transfer Pricing
Verrechnungspreise
-
M&A Tax
Mergers & Acquisitions Steuern – Beratung über den gesamten Transaktionszyklus
-
Tax Financial Services
Tax Financial Services
-
Financial Services
Beratung Finanzindustrie
-
Advisory IT & Digitalisation
Vermittlung von Sicherheit aus der IT.
-
Forensic Services
Heutzutage geht es bei der Aufklärung von Straftaten in Unternehmen immer häufiger auch um digitale Daten und ganze IT-Systeme.
-
Regulatory & Compliance Financial Services
Beratungsdienstleistungen in den Bereichen Finanzmarktrecht und Sustainable Finance.
-
Transaction Services / Mergers & Acquisitions
Gut beraten Transaktionen erfolgreich abwickeln.
-
Legal Services
Persönliche Beratung, die Ihnen Recht gibt.
-
Trust Services
Ihr zuverlässiger Partner in Sachen Vermögensplanung, Trusts und Stiftungen.
-
Business Risk Services
Nachhaltiges Wachstum für Ihr Unternehmen.
-
IFRS Services
Die Rechnungslegung nach den International Financial Reporting Standards (IFRS) und die Finanzberichterstattung stehen ständig vor neuen Herausforderungen durch Gesetzgeber, Regulierungsbehörden und Gremien. Einige IFRS-Rechnungslegungsthemen sind so komplex, dass sie generell schwer zu handhaben sind.
-
Abacus
Grant Thornton Schweiz Liechtenstein ist seit 2020 offizieller Vertriebspartner der Abacus Business Software.
-
Accounting Services
Buchführung ist für uns weit mehr als die Verarbeitung von Zahlen.
-
Payroll Services
Monat für Monat sparen Sie Zeit und Energie, wenn Sie wissen, dass Ihre komplette Lohnadministration sich in den besten Händen befindet.
-
Real Estate Management
Geben Sie Ihrem kompletten Immobilienmanagement ein sicheres Zuhause.
-
Lernende
Karriere mit Lehre?!
Einordnung der Neuerungen1
Grundsatz
Personendaten dürfen grundsätzlich2 nur dann ohne Zusatzmassnahmen an einen Empfänger im Ausland übermittelt werden, wenn im Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist. Der Bundesrat legt im Anhang zur Verordnung zum Datenschutzgesetz fest, welche Länder diese Voraussetzung erfüllen. Erfasst sind beispielsweise Deutschland, Argentinien und das Vereinigte Königreich.
Europäische Union (EU)
Der Bundesrat stuft die Datenschutz-Grundverordnung (DSGVO) der EU als gleichwertig mit dem schweizerischen Datenschutzgesetz ein. Entsprechend werden die EWR-Mitgliedstaaten auf der Liste der anerkannten Länder im Anhang 1 der Datenschutzverordnung aufgeführt und ein Datenexport in diese Länder ist grundsätzlich ohne weitere Schutzmassnahmen möglich.
USA
Der Bundesrat hat am 14. August 2024 beschlossen, dass unter dem sogenannte Swiss-U.S. Data Privacy Framework Personendaten ohne zusätzliche Garantien an Empfängerinnen in die USA übermittelt werden können.
Voraussetzung dafür ist, dass die jeweilige Empfängerin nach dem CH-U.S. Data Privacy Framework zertifiziert ist. Damit werden für Schweizer Unternehmen ähnliche Bedingungen wie in der EWR geschaffen, denn diese hat das EU-U.S. Data Privacy Framework bereits im Juli 2023 eingeführt.
Eine CH-U.S. Data Privacy Zertifizierung gewährleistet die Einhaltung der vorgeschriebenen Datenschutzmassnahmen und -garantien. Bereits diverse amerikanische Unternehmen wie Microsoft und Google haben sich nach dem Framework zertifizieren lassen. Eine Liste der angeschlossenen Akteure ist unter dem Link «Data Privacy Framework» verfügbar.
Die CH-U.S. Data Privacy Framework Zertifizierung ermöglicht somit, Daten ohne zusätzliche Standardvertragsklauseln oder Transfer Impact Assessments in die USA zu übertragen. Trotzdem spricht aber nichts dagegen den Datentransfer zusätzlich durch Standardvertragsklauseln abzusichern. In jedem Fall empfehlen wir, sich die Zertifizierung sowie deren Aufrechterhaltung durch den Datenempfänger vertraglich garantieren zu lassen.
Alternative Schutzmechanismen
Liegt für ein Land kein Angemessenheitsbeschluss vor oder ist ein Unternehmen unter dem CH-U.S. Privacy Framework nicht zertifiziert, kann ein Transfer dennoch zulässig sein, wenn ein geeigneter Datenschutz garantiert wird. Häufig geschieht dies durch Standarddatenschutzklauseln3 und Datenschutzklauseln in spezifischen Verträgen4.
Der geplante Datentransfer sollte jeweils detailliert erfasst werden damit eine sachdienliche Basis für dessen Einschätzung vorliegt.
Kumulative Garantien
Zum Schutz der betroffenen Personen, muss bei der Übermittlung von Daten in ein Land ohne Angemessenheitsbeschluss des Bundesrates zusätzlich sichergestellt werden, dass die nachfolgend aufgeführten schweizerischen Grundrechtsgarantien im Empfängerland bestehen:
- Legalitätsprinzip: Es müssen klare, präzise und zugängliche Regeln bestehen, die die behördlichen Befugnisse und Zugriffe auf Daten regeln.
- Verhältnismässigkeit: Die Massnahmen der Behörden müssen geeignet, erforderlich und für die Betroffenen zumutbar sein, um die gesetzlichen Zwecke zu erfüllen.
- Rechtsmittel: Betroffene müssen über wirksame gesetzliche Rechtsmittel zur Durchsetzung ihrer Rechte verfügen.
- Schutz vor Willkür: Eingriffe in die Privatsphäre und informationelle Selbstbestimmung müssen einer wirksamen unabhängigen und unparteiischen Stelle unterliegen.
Der Datenexporteur darf bei der Überprüfung dieser Garantien nicht nur auf Aussagen des Datenimporteurs vertrauen.
Unabhängig davon, ob die vier Garantien eingehalten werden können, muss der Datenexporteur vor dem Datentransfer ins Ausland eine detaillierte und auf den Einzelfall bezogene Analyse durchführen.
Um sämtliche nötige Abklärungen vorzunehmen, muss eine gründliche Prüfung der im Empfängerland geltenden Datenschutzgesetze und ihrer Umsetzung sowie Durchsetzung in der Praxis vorgenommen werden. Bei fehlendem Knowhow können unabhängige Rechtsgutachten eingeholt werden, um die rechtliche Situation im Empfängerland umfassend zu bewerten. Die Analyse sollte sich auf objektive rechtliche und faktische Gegebenheiten stützen. Subjektive Faktoren wie die Wahrscheinlichkeit eines unrechtmässigen Zugriffs auf die Daten im Empfängerland sollten in der Regel nicht berücksichtigt werden.
Allfällige zusätzliche Massnahmen
Falls die vier oben genannten Garantien im Empfängerland nicht gewährleistet sind, müssen ersatzweise zusätzliche Massnahmen getroffen werden. Es muss verhindert werden, dass Behörden auf die übermittelten Personendaten Zugriff erlangen können. Eine Anwendung einer solchen Massnahme wäre beispielsweise eine wirksame Verschlüsselung der Daten. Anderseits sind vertragliche Regelungen allein nicht ausreichend, da sie für Behörden in Drittstaaten nicht bindend sein müssen. Nach der Implementierung der erforderlichen zusätzlichen Massnahmen muss der verantwortliche Datenexporteur regelmässig die tatsächlichen und rechtlichen Bedingungen überprüfen.
Umsetzung
Sofern ein angemessenes Datenschutzniveau auch ohne zusätzliche Massnahmen erreicht wird, kann die Übertragung der Daten (mit periodischer Überprüfung) nach Abschluss der vertraglichen Regelung und vorgängiger Analyse erfolgen. Gelingt die Umsetzung von allenfalls notwendigen zusätzlichen Massnahmen, kann der Datentransfer nach erfolgter vertraglicher Regelung, vorgängiger Analyse sowie Umsetzung der zusätzlichen Massnahmen (mit periodischer Überprüfung) erfolgen.
Fazit & Ausblick
Obwohl der neue Datenschutzrahmen mit dem Swiss-U.S. Data Privacy Framework Erleichterung bringt, bleiben die Anforderungen an eine Datenübermittlung ins Ausland hoch. Unternehmen haben sicherzustellen, dass sie die rechtlichen Rahmenbedingungen einhalten, insbesondere bei Transfers von Personendaten in Länder ohne angemessenes Datenschutzniveau. Dabei sind sowohl vertragliche Garantien als auch zusätzliche Schutzmassnahmen entscheidend, um den Datenschutz zu gewährleisten. Regelmässige Überprüfungen und bei Bedarf Anpassungen der getroffenen Massnahmen sind unerlässlich, um die Einhaltung der Datenschutzanforderungen langfristig sicherzustellen und rechtliche Risiken damit zu begrenzen.
Haben Sie Fragen zum Datenschutzgesetz und/oder zu Datenbekanntgaben ins Ausland? Gerne unterstützen Sie unsere Spezialisten vom Regulatory & Compliance FS Team. Wir freuen uns auf Ihre Kontaktaufnahme.
[1] Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll. Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.
[2] Sofern keine gesetzliche Ausnahme wie beispielsweise die ausdrückliche Einwilligung der betroffenen Person besteht.
[3] Standarddatenschutzklauseln können von privaten, öffentlichen Stellen oder vom EDÖB erarbeitet werden. Sie können nach einmaliger Genehmigung vom EDÖB frei und ohne Mitteilung verwendet werden.
[4] Vertragspartner können in einem spezifischen Vertrag separate Datenschutzklauseln vereinbaren. Diese Klauseln müssen dem EDÖB vor dem jeweiligen Transfer ins Ausland mitgeteilt werden.