Zu Content springen
Deutsch – Schweiz
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Was muss bei «Datenübermittlungen ins Ausland» gemäss nDSG beachtet werden?

Beim Thema der «Datenübermittlungen ins Ausland» kann man sich umfassend an der hierzu veröffentlichten Online-Mitteilung sowie leicht verständlichen und guten Hilfestellung vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) orientieren (Link: Datenbekanntgabe ins Ausland EDÖB-Website).

Grundsätzliche Voraussetzung für die Übermittlung von (Schweizer) Personendaten ins Ausland ist das Bestehen eines angemessenen Datenschutzniveaus im betreffenden Empfängerstaat (auch als «Drittland» oder «Drittstaat» bezeichnet).

Personendaten dürfen demnach ins Ausland bekanntgegeben werden, wenn die Gesetzgebung des Empfängerstaates einen angemessenen Schutz gewährleistet, wie es Artikel 16 (Grundsätze) Absatz 1 nDSG vorgibt:

« 1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. [...] »

Zum besseren Verständnis im weiteren Verlauf dieses Beitrags wird im Folgenden der komplette Artikel 16 nDSG (3. Abschnitt: Bekanntgabe von Personendaten ins Ausland, Grundsätze) abgebildet:

«1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.

2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:

  1. einen völkerrechtlichen Vertrag;
  2. Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
  3. spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
  4. Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
  5. verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.

3 Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.»

Für welche «Drittstaaten» der Bundesrat die Erfüllung der Voraussetzungen festgelegt hat, wird in Anhang 1 der Datenschutzverordnung (DSV) veröffentlicht. Die Liste kann über folgenden Link eingesehen werden:

Anhang 1 DSV: Staaten, Gebiete, spezifische Sektoren in einem Staat und internationale Organe mit einem angemessenen Datenschutz.

In Artikel 8 (Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs) DSV werden die Kriterien genannt, die der Bundesrat bei seiner Einschätzung anwendet:

«1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:

  1. die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
  2. die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
  3. die Art und den Zweck der Bekanntgabe von Personendaten;
  4. gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
  5. die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
  6. die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
  7. die Massnahmen zur Gewährleistung der Datensicherheit;
  8. die Pflicht, Verletzungen der Datensicherheit zu melden;
  9. falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
  10. die Rechte der betroffenen Person, insbesondere:
    1. das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
    2. das Recht, der Datenbekanntgabe zu widersprechen,
    3. das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
    4. das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen.

2 Der Verantwortliche und im Fall von Datenschutzklauseln in einem Vertrag der Auftragsbearbeiter müssen angemessene Massnahmen treffen, um sicherzustellen, dass die Empfängerin oder der Empfänger diese Klauseln oder die spezifischen Garantien einhält.

3 Wurde der EDÖB über die Datenschutzklauseln in einem Vertrag oder die spezifischen Garantien informiert, so gilt die Informationspflicht für alle weiteren Bekanntgaben als erfüllt, die:

  1. unter denselben Datenschutzklauseln oder Garantien erfolgen, sofern die Kategorien der Empfängerinnen und Empfänger, der Zweck der Bearbeitung und die Datenkategorien im Wesentlichen unverändert bleiben; oder
  2. innerhalb derselben juristischen Person oder Gesellschaft oder zwischen Unternehmen, die zum selben Konzern gehören, stattfinden.»

Wenn demnach ein angemessener Schutz gewährleistet ist, können Personendaten durch private Unternehmen (sowie durch Bundesorgane) aus der Schweiz frei in den betreffenden «Drittstaat» übermittelt werden.

Liegt kein Angemessenheitsbeschluss im Sinne von Artikel 8 DSV vor, kann eine Übermittlung von Personendaten ins Ausland dennoch zulässig sein, wenn der Datenschutz auf andere Weise sichergestellt wird. Diesbezüglich spielen laut dem EDÖB zwei vertragliche Garantien eine besondere Rolle, (sie werden hier wortwörtlich zitiert):

«Datenschutzklauseln in einem spezifischen Vertrag : Der Verantwortliche und sein Vertragspartner vereinbaren in ihrem Vertrag spezifische Datenschutzklauseln, die einen angemessenen Schutz der übermittelten Daten gewährleisten. Vor dem Transfer ins Ausland müssen diese Klauseln dem EDÖB mitgeteilt werden. Trotz Mitteilung bleibt die Verantwortung für den Nachweis, dass alle erforderlichen Massnahmen zum Schutz der Daten getroffen wurden, beim Verantwortlichen. Im Gegensatz zu den Standarddatenschutzklauseln gelten die Datenschutzklauseln in einem Vertrag nur für die Bekanntgabe, die im entsprechenden Vertrag vorgesehen ist.

Standarddatenschutzklauseln : Standarddatenschutzklauseln können von Privaten, interessierten Kreisen oder Bundesorganen erarbeitet werden. Solche Klauseln müssen vorgängig vom EDÖB genehmigt werden. Es dürfen keine Daten ins Ausland bekanntgegeben werden, bis der EDÖB seinen Entscheid zu den Klauseln gefällt hat, ausser der Transfer kann sich auf einen anderen Rechtsgrund stützen. Der EDÖB entscheidet innerhalb von 90 Tagen (Art. 10 Abs. 2 DSV). Standarddatenschutzklauseln können aber auch vom EDÖB selber ausgestellt oder anerkannt werden. [...] Die Verwendung solcher Klauseln muss dem EDÖB nicht gemeldet werden. »

Die genaueren Ausführungen dazu sind ausführlich vom EDÖB in seinem online frei zugänglichen Hilfs- und Orientierungsdokument « Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge (Stand 27. August 2021) » abrufbar.