Teil 8 – Datentransfer in die EU / Drittländer: Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Ist gemäss DSG aktuell noch der EDÖB zuständig für die Genehmigung der Datenexporte ins Ausland, so wird neu gemäss Art. 16 DSGneu die Bekanntgabe von Personendaten ins Ausland normiert. Neu ist hierbei die Zuständigkeit des Bundesrates für die Entscheidung, ob ein Land einen angemessenen Datenschutz bietet; er wird sich vermutlich an dieselben Entscheidungen der Europäischen Kommission bzw. an die bisherige Länderliste des EDÖBs halten.

Neu kann ein Verstoss gegen die Datenexportregelung sanktioniert werden (Art. 61 lit. a DSGneu). Sofern ein Drittland ein angemessenes Datenschutzniveau bietet, ist ein Datentransfert unproblematisch. Es sind die Betroffenen dennoch zu informieren. Sofern ein Drittland nicht über ein angemessenes Datenschutzniveau verfügt, ist der Datentransfer deutlich komplizierter. Der Datenexporteur muss dann nämlich mit geeigneten vertraglichen Massnahmen (bspw. Standard Contract Clauses der EU) gewährleisten, dass die exportierten Daten gut geschützt sind.

In der EU gilt Folgendes: Art. 44 – 50 DSGVO regeln die Datenübermittlungen in Drittländer, wobei diese untersagt ist, sofern sie nicht gemäss Art. 45 DSGVO auf der Liste der Europäischen Kommission der Länder mit angemessenem Datenschutz auf Basis von Art. 45 Richtlinie (EU) 2016/679 (vgl. Fussnote 1) ist oder mit einer Richtlinie wie das ePrivacy Shield oder einer Standardvertragsklausel (SCC: Standard Contract Clauses) ausdrücklich geregelt und genehmigt wurde.

Die Beziehung EU-USA hat bezüglich Datenaustausch eine längere bewegte Geschichte. Die Politik in der EU wie in der Schweiz versuchte schon mehrmals, mit internationalen Verträgen zu ermöglichen, dass personenbezogene Daten in die USA exportiert werden dürfen. Das erste Abkommen, namentlich das Safe-Harbor Abkommen aus dem Jahre 2015, wurde durch den EuGH mit dem Urteil „Schrems I“ für ungenügend erklärt.

Die Folgelösung für das gekippte Safe-Harbor Abkommen hiess EU-US Privacy Shield. Erst kürzlich im Juli 2020 wurde auch das Privacy Shield vom EuGH durch das Urteil „Schrems II“ für untauglich erklärt. Es bleiben zurzeit nur die SCC, um einen Datenexport in die USA zu rechtfertigen, welche auch genutzt werden.

Hinsichtlich dieser SCCs wird es mit Rechtsprechungen in der EU, vor allem aber auch durch die Datenschutzaufsichtsbehörden sowie den EDSA, in naher Zukunft noch einiges zu entscheiden geben. Max Schrems, österreichischer Datenschutzaktivist, kämpft für den Schutz der Privatsphäre, welcher in den Datenschutzgesetzen der EU verankert ist. Dies steht im Konflikt mit dem Überwachungsgesetz der USA, die eine Überwachung verlangen bzw. uneingeschränkten Datenzugriff durch die US-Behörden erlaubt. Eine Firma wie Microsoft, die ihren Sitz in den USA hat, für Kunden Daten aber in den Niederlanden hostet, kann dies trotzdem rechtmässig tun, ohne gegen die DSGVO zu verstossen.

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin

Fenster schliessen
Jetzt anrufen