Übermittlung von Personendaten ins Ausland (Zusammenfassung)

Dieser Blogbeitrag ist ein Kurzversion des ausführlichen Blogbeitrags auf datenschutzgesetze.ch Dort finden Sie die Details zu den jeweiligen Alternativen und deren konkrete gesetzliche Ausgestaltung.

Die Übermittlung von Personendaten ins Ausland durch private Unternehmen oder Bundesorgane unterliegt bestimmten Bedingungen und Kontrollen, wie vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) dargelegt. Personendaten dürfen nur ins Ausland übermittelt werden, wenn das Empfängerland ein angemessenes Datenschutzniveau bietet.

 Es ist davon auszugehen, dass bei den betrieblichen Abläufen in Schweizer Unternehmen viele «Schweizer» Personendaten ins Ausland übermittelt werden; zumindest ist es sehr wahrscheinlich, dass der Zugriff auf diese Daten vom Ausland aus ermöglicht wird, beispielsweise wenn Schweizer Unternehmen Cloud-Provider oder Software-as-a-Service (SaaS) Dienste nutzen.

Voraussetzungen für die Übermittlung:

  • Die Verantwortlichen müssen bestimmte Bedingungen zum Schutz der Personendaten erfüllen.
  • Der Bundesrat bewertet die "Angemessenheit" des Datenschutzrechts in Empfängerstaaten.

Gesetzliche Rahmenbedingungen:

  • Das Datenschutzgesetz (DSG) legt Grundsätze und Ausnahmen für Datenübermittlungen ins Ausland fest.
  • Der Bundesrat bestimmt in Anhang 1 der Datenschutzverordnung (DSV), welche Länder angemessenen Schutz bieten.

Alternative 1: Völkerrechtlicher Vertrag:

  • Internationale Verträge, einschliesslich Datenschutzkonventionen, können angemessenen Schutz bieten.

Alternative 2: Datenschutzklauseln in einem Vertrag:

  • Datenschutzklauseln in Verträgen können Personendaten schützen, wenn es im Empfängerstaat keinen angemessenen Schutz gibt.
  • Der EDÖB muss über solche Klauseln informiert werden.

Alternative 3: Spezifische Garantien:

  • Öffentliche Organe des Bundes können spezielle Garantien aushandeln, um den Datenschutz in Zusammenarbeit mit ausländischen Staaten oder Organisationen sicherzustellen.

Alternative 4: Standarddatenschutzklauseln (SCC):

  • SCC sind standardisierte Vertragsklauseln zur Regelung der Datenverarbeitung zwischen Schweizer Unternehmen und ausländischen Dienstleistern.
  • SCC müssen vom EDÖB genehmigt werden.

Alternative 5: Verbindliche unternehmensinterne Datenschutzvorschriften:

  • Internationale Unternehmensgruppen können verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules, BCR) nutzen, wenn diese vom EDÖB genehmigt wurden.

Gewährleistung schweizerischer Datenschutz- und Grundrechtsgarantien:

Bei (geplanten) Übermittlungen von Personendaten ins Ausland geht es dem Schweizer Gesetzgeber in diesem Kontext insbesondere um die Sicherheit der (Schweizer) Personendaten hinsichtlich potenzieller behördlicher Zugriffe darauf in einem Drittland, beispielsweise zwecks nationaler Sicherheit oder Strafverfolgung. Bei Datenübermittlungen ins Ausland müssen die "Vier Garantien" sichergestellt sein: LegalitätsprinzipVerhältnismässigkeitwirksame Rechtsmittel und Rechtsweggarantie.

Anwendung auf die USA:

Sollte es Anhaltspunkte geben, dass Personendaten in die USA übermittelt und dort direkt oder indirekt bearbeitet werden (können), was regelmässig bei der Nutzung von Cloud-Diensten vorkommt, stellt der EDÖB, als Teil seiner «Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug» (siehe nächsten Abschnitt), einen speziellen Fragebogen zu Verfügung, der für weitere Abklärungen mit entsprechenden «Datenimporteuren» verwendet werden kann.

Anleitung des EDÖB:

Der EDÖB stellte bereits vor der Totalrevision des Schweizer Datenschutzgesetzes auf seiner Website eine «Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug» zur Verfügung. Die Anleitung ist inzwischen aktualisiert und dem neuen DSG angepasst worden. Die Anleitung kann über folgenden Link abgerufen werden: Anleitung Auslandsbezug EDÖB

Setzen Sie sich für weitere Informationen zu diesem komplexen und vielschichtigen Thema jederzeit mit uns in Verbindung. Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch, z. B. mittels MS Teams, über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.