Die USA haben aus Schweizer Sicht angemessenes Datenschutzniveau

Seit der Inkraftsetzung des neuen Schweizer Datenschutzrechts am 1. September 2023 dürfen Personendaten ohne zusätzliche Garantien ins Ausland übermittelt werden, wenn im Empfängerstaat ein angemessenes Datenschutzniveau besteht. Der Bundesrat legt fest, welche Staaten diese Voraussetzung erfüllen und publiziert dies auf einer verbindlichen Liste in Anhang 1 der Datenschutzverordnung.

Swiss-U.S.-Data Privacy Framework (Swiss-US-DPF)

Wie der Bundesrat in einer Medienmitteilung informiert, können zukünftig an zertifizierte Unternehmen in den USA ohne zusätzlichen Datenschutzgarantien Personendaten übermittelt werden. Nach Art. 16 Abs. 1 DSG dürften Personendaten aus der Schweiz in die USA nur übertragen werden, wenn ein angemessener Schutz gewährt wird. Diesen stellt der Bundesrat nunmehr fest. Die EU hatte bereits im Juli einen Angemessenheitsbeschluss zur Übertragung von Personendaten in die USA gefasst. Mit dem Entscheid des Bundesrats zieht die Schweiz nun nach.

Für Unternehmen wird der Datentransfer in die USA nunmehr deutlich einfacher, weil die vom DSG vorgesehene Einwilligungspflicht für den Auslands-Datentransfer in die USA zumindest im Umgang mit zertifizierten US-Unternehmen entfällt. Der Angemessenheitsbeschluss des Bundesrats gilt ab dem 15. September 2024, so dass ab diesen Tag ohne Einwilligungserfordernis Daten an solche Unternehmen übermittelt werden können.

Rechtsanwalt und Fachanwalt für IT-Recht Sven Kohlmeier sieht diese Entwicklung als positiv: "Ich begrüsse, dass der Bundesrat den längst fälligen Beschluss nun gefasst hat. Denn das macht den Datentransfer für Unternehmen deutlich einfacher und wirtschaftsfreundlicher und entspricht der Praxis der EU."

Zertifizierte Unternehmen und Schrems III

Der Entscheid des Bundesrats folgt als Reaktion auf den Datenschutzrahmen zwischen der Schweiz und den USA, dem Swiss-U.S.-Data Privacy Framework (DPF). Das Bundesamt für Justiz kam zum Schluss, dass unter dessen Anwendung "zertifizierte Unternehmen" einen angemessenen Schutz für Personendaten bieten.

"Zertifizierte Unternehmen": Die Liste der zertifizierten Unternehmen gibt es bereits (Website: 🔍https://lnkd.in/eTemt8dG) und diese weisen auch bereits die Zertifizierung nach Swiss-US-DPF aus (siehe Foto). Jeder kann in dieser Liste nachschauen, ob das US-Unternehmen zertifiziert ist und damit ein angemessenes Datenschutzniveau nach dem Schweizer DSG gewährleistet.


"Schrems III":

Der Jurist und Datenschutzaktivist Max Schrems, der ausserdem Vorstandsvorsitzender der Nichtregierungsorganisation noyb (das steht für „none of your business“) ist, hat bereits zwei erfolgreiche Klagen vor dem Europäischen Gerichtshof (EuGH) gegen unzureichende transatlantische Datenschutzabkommen geführt. Die beiden Urteile werden auch Schrems I und Schrems II genannt. Beide befassten sich im Kern mit Bedenken hinsichtlich der Überwachungspraktiken der USA und des Mangels an ausreichenden Garantien für personenbezogene Daten in der EU. Das Urteil Schrems II hatte weitreichende Auswirkungen auf Unternehmen, die personenbezogene Daten aus der EU in die USA (oder andere Drittländer) übertragen. Solche Unternehmen müssen nun sicherstellen, dass die Datenschutzstandards in den Empfängerländern den Anforderungen der EU entsprechen, wobei eine Einzelfallprüfung notwendig ist und keine Standardvertragsklauseln als Mechanismus für den internationalen Datentransfer mehr akzeptiert werden.

Vor dem Hintergrund der aktuellen Angemessenheitsbeschlüsse stellt sich die Frage, ob bzw. wann Schrems erneut vor dem EuGH Klage einreicht. Auf der Webseite der nyob wird weiterhin kritisiert, dass als grundlegendes Problem des neuen Datenschutzrahmens weiterhin die US-Regierung nur US-Bürgern verfassungsmässige Rechte gewährt. Damit unterliegen personenbezogene Daten aus der EU auch unter dem EU-US-Datenschutzrahmen nach wie vor der Massenüberwachung durch die USA.

Von einer allfälligen Entscheidung des EuGH wäre das Swiss-USA-DPF zwar nicht unmittelbar betroffen, aber wegen der Sachnähe des Schweizer DSG zur DSGVO würde eine Entscheidung des EuGH mutmasslich auch auf die Schweiz Auswirkungen haben. Bis zu einer Entscheidung dürften aber noch einige Jahre vergehen... und bis dahin können Personendaten, gestützt auf das DPF, problemlos an zertifizierte Unternehmen weitergegeben werden.

Sven Kohlmeier rechnet fest mit einer erneuten Klage, einer “Schrems III”, durch den Datenschutzaktivisten. Schrems selbst sagt dazu: "...now the Commission itself simply ignores the Court of Justice for the third time." Die Organisation noyb.eu wird also auch gegen das aktuelle EU-USA-DPF vorgehen (🔍 https://lnkd.in/ea9wsbQ9). Routiniert grüsst das Datenschutz-Murmeltier.

Swiss-U.S.-Data Privacy Framework (Swiss-US-DPF)

Unternehmen, die personenbezogene Daten von der Schweiz in die USA übertragen, können nun möglicherweise ihren Umgang mit den Kunden bzw. Nutzern, von denen sie Daten übertragen, anpassen. Folgende Punkte sind dabei zu beachten:

1. Haben Sie über ihre Webseite bei Datenübertragung in die USA eine Einwilligung eingeholt, können Sie diese ab dem 15. September 2024 möglicherweise entfernen. Diese ist für zertifizierte Unternehmen nicht mehr erforderlich.

2. Prüfen Sie bei Datenübertragung in die USA, ob das amerikanische Unternehmen zertifiziert ist. Die vollständige Liste zertifizierter Unternehmen finden Sie hier:  https://www.dataprivacyframework.gov/list.

3. Passen Sie ggf. ihre Datenschutzerklärung an und verweisen Sie auf das angemessene Datenschutzniveau in den USA durch das Swiss-US-Data-Privacy-Framework.

Für IT-rechtliche Themen, Datenschutz und grenzüberschreitende Sachverhalte mit Bezug zur EU und Deutschland steht Ihnen Sven Kohlmeier beratend und prozessierend zur Verfügung.