06.13 Übermittlung von Personendaten ins Ausland

06 Data Protection

Nach Art. 6 DSG (Art. 16 ff. revDSG) dürfen Personendaten nur dann an einen Empfänger im Ausland bekannt gegeben werden (auch mittels Zugriff auf einen Server in der Schweiz), wenn das Datenschutzniveau im nämlichen Land ähnlich hoch ist, wie in der Schweiz. Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erstellt dafür eine Liste mit den Staaten, die aus schweizerischer Sicht ein genügendes Datenschutzniveau aufweisen (s. www.edoeb.admin.ch/dam/edoeb/de/dokumente/2017/04/staatenliste.pdf.download.pdf/staatenliste.pdf) (nach Art. 16 revDSG entscheidet inskünftig der Bundesrat, ob ein Drittstaat ein angemessenes Datenschutzniveau bietet). Nicht unter diese Bestimmung fällt, wenn Personendaten zur Information der Öffentlichkeit mittels automatisierter Informations- und Kommunikationsdienste (insb. Internet) allgemein zugänglich gemacht werden, auch wenn die Daten vom Ausland aus zugänglich sind (Art. 18 revDSG). Verfügt ein Drittstaat kein gleichwertiges Datenschutzniveau wie die Schweiz, ist der Datenexport trotzdem zulässig, wenn der schweizerische Datenexporteur mit dem ausländischen Datenempfänger die Einhaltung des Schweizer Datenschutzstandards vertraglich regelt. Die in der Praxis hierzu am häufigsten verwendeten Verträge sind die Standardklauseln der Europäischen Kommission, die es für Auftragsbearbeiter wie auch für Verantwortliche als Empfänger gibt.

Da insbesondere die EU das Datenschutzniveau des sehr wichtigen Handelspartners USA als nicht genügend hoch erachtet, haben die EU und die Schweiz mit den USA eine spezielle Lösung geschaffen. Im Abkommen «Privacy Shield» haben die EU, die Schweiz und die USA datenschutzrechtliche Standards definiert. Wenn US-Unternehmen diesem Abkommen beitreten, verpflichten sie sich, die entsprechenden Standards einzuhalten. Damit ist bei der Übermittlung von Personendaten an diese Unternehmen das von Art. 6 DSG verlangte ähnlich hohe Datenschutzniveau gewährleistet. Welche US-Unternehmen dem Abkommen beigetreten sind, kann unter folgendem Link abgerufen werden: www.privacyshield.gov/list.

Mit Entscheid vom 16. Juli 2020 erklärt der Europäische Gerichtshof den Privacy Shield-Beschluss 2016/1250 der Europäischen Kommission und damit die Anwendung des Abkommens «Privacy Shield» in der EU für ungültig. Der Eidg. Datenschutz und Öffentlichkeitsbeauftragte EDÖB ist für das Verhältnis Schweiz-USA zum selben Schluss gekommen und hat die Anwendung des «Privacy Shield» Abkommen gemäss Stellungnahme vom 8. September 2020 ebenfalls ausgesetzt (s. dazu auch Artikel in Tages-Anzeiger Online vom 16.07.2020). Am 25. März 2022 haben die EU-Kommission und die US-Regierung erste Details zum geplanten neuen «Transatlantischen Datenschutzrahmen» («Privacy Shield 2.0») bekannt gegeben. Ausführlich dazu ein Artikel auf heise online vom 26. März 2022.

06 Data Protection