Swiss-U.S. Data Privacy Framework

30.09.2024 von Andreas Schäfer und Yanick Haldemann

Überblick

Mit Bundesratsbeschluss vom 14. August 2024 wurde mit den USA ein Datenschutzabkommen abgeschlossen, das mit dem ausgearbeiteten Swiss-US Data Privacy Framework (Swiss-US DPF) ein angemessenes Datenschutzniveau bei der Übermittlung von Personendaten gewährleistet. Das neue Datenschutzrahmenwerk zwischen der Schweiz und den USA ist am 15. September 2024 in Kraft getreten.

Die Zertifizierung für US-Unternehmen und die US-Datenschutzaufsicht ermöglicht in Zukunft die Übermittlung von Personendaten aus der Schweiz an zertifizierte Unternehmen in die Vereinigten Staaten ohne zusätzliche Garantien treffen zu müssen.

Das Urteil des EuGH als Auslöser

Zwischen der EU und den Vereinigten Staaten galt das sogenannte «Privacy Shield Framework». Das Privacy Shield Framework beinhaltete informelle Absprachen mit den Vereinigten Staaten, die die Erfüllung von Datenschutznormen bei der Übermittlung von Personendaten in die USA gewährleisten sollten.

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 in der Rechtssache Schrems II (C-311/18) klargestellt, dass Personendaten nur dann in Drittstaaten übermittelt werden dürfen, wenn dort ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet ist. Ein solches angemessenes Schutzniveau wurde vom EuGH für die USA trotz des Privacy Shields verneint. Folglich wurde mit der Entscheidung das bestehende Privacy Shield Framework für ungültig erklärt. Begründet wurde das Urteil damit, dass der Schutzmechanismus für die Überwachung durch US-Geheimdienste unverhältnismässige Ausnahmen vom Datenschutz zulasse und keinen effektiven Rechtsschutz für die Betroffenen vorsehe.

Dieses Urteil hat auch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) veranlasst, die Angemessenheit des Schutzniveaus in den USA erneut zu prüfen. In seiner Stellungnahme vom 8. September 2010 kam der EDÖB zum Schluss, dass die USA die Anforderungen an einen angemessenen Datenschutz im Sinne des schweizerischen Datenschutzgesetzes nicht erfüllen. Sie wurden deshalb von der Liste der Staaten mit angemessenem Schutzniveau gestrichen.

Aus diesem Grund wurden parallel zu den Gesprächen zwischen der EU und den USA auch die Gespräche zwischen der Schweiz und den USA wieder aufgenommen. Das Ergebnis dieser Gespräche ist ein Datenschutzrahmen für die Übermittlung von Personendaten aus der Schweiz an zertifizierte Organisationen in den USA - das Swiss-US Data Privacy Framework.

Inhalt des Swiss-US Data Privacy Framework

Das Swiss-US Data Privacy Framework ermöglicht es zertifizierten US-Unternehmen, sich dem Abkommen zwischen der Schweiz und den USA anzuschliessen, indem sie sich zur Einhaltung detaillierter Datenschutzanforderungen verpflichten.

Insbesondere dürfen diese Unternehmen die erhaltenen Daten nur für den Zweck bearbeiten, für den sie erhoben wurden. Nach Zweckerreichung sind sie verpflichtet, die Daten zu löschen. Eine Weitergabe an Dritte, z.B. an nicht zertifizierte Unternehmen, ist nicht zulässig.

Die Grundsätze des Swiss-US DPF garantieren die Einhaltung der wesentlichen Grundsätze des schweizerischen Datenschutzrechts, wie sie in Art. 6 DSG definiert sind.

Selbstzertifizierung von US-Unternehmen

Die Zertifizierung von US-Unternehmen soll sicherstellen, dass die vorgesehenen Datenschutzmassnahmen und Datenschutzgarantien eingehalten werden. Hierfür können sich Unternehmen, die Personendaten aus der Schweiz bearbeiten, freiwillig bei der Handelsbehörde der Vereinigten Staaten (Department of Commerce) zertifizieren lassen. Mit der Selbstzertifizierung sichern die Unternehmen zu, dass sie die Datenschutzprinzipien des Swiss-US DPF einhalten.

Das US-Handelsministerium überprüft die Selbstzertifizierung der Unternehmen sowie die Einhaltung der Prinzipien des Swiss-US DPF. Wenn das Ministerium bei der Prüfung feststellt, dass ein Unternehmen sämtliche Anforderungen erfüllt, wird es offiziell in die Liste der zertifizierten Unternehmen aufgenommen. Die offizielle Liste findest Du hier.

Die Zertifizierung muss von den Unternehmen jährlich erneuert werden. Damit wird sichergestellt, dass die Unternehmen ihre Datenschutzpraktiken regelmässig überprüfen und die Anforderungen des Swiss-US DPF weiterhin erfüllen.

Unternehmen werden von der DPF-Liste gestrichen, wenn sie sich freiwillig zurückziehen, sich nicht rezertifizieren lassen oder die Grundsätze des Swiss-US DPF dauerhaft nicht einhalten.

Rechte der betroffenen Personen

Sämtliche Unternehmen, die am Swiss-US DPF teilnehmen, sind verpflichtet, Streitbelegungsmechanismen einzurichten und bereitzustellen. Dazu gehört ein interner Beschwerdemechanismus, bei dem die Unternehmen über ein internes Verfahren zur Behandlung von Beschwerden verfügen müssen. Ist das interne Beschwerdeverfahren nicht zufriedenstellend, haben Betroffene die Möglichkeit, sich an eine unabhängige Schlichtungsstelle zu wenden, die von den Vereinigten Staaten oder einer unabhängigen Organisation bereitgestellt wird. Betroffene Personen können sich aber auch an die nationale Datenschutzbehörde in der Schweiz wenden, die wiederum mit den Behörden der Vereinigten Staaten zusammenarbeitet.

Fazit

Das Swiss-US DPF wurde entwickelt, um den transatlantischen Handel zu erleichtern. Die US-Organisationen stellen verlässliche Mechanismen für die Übermittlung von Personendaten aus der Schweiz in die Vereinigten Staaten zur Verfügung, die mit dem Schweizer Recht vereinbar sind und einen angemessenen Schutz gewährleisten. Mit dem Swiss-US DPF wird sichergestellt, dass die zertifizierten Unternehmen in den Vereinigten Staaten ein angemessenes Schutzniveau für Personendaten gewährleisten. Die Schweiz folgt mit damit dem Ansatz der EU, die bereits früher mit den Vereinigten Staaten das EU-US Data Privacy Framework beschloss. Weiterführende Informationen dazu findest Du in unserem Blogbeitrag: Welchen Einfluss hat das EU-US Data Privacy Framework auf die Schweiz?

Der Angemessenheitsbeschluss des Bundesrates vom 14. August 2024 bedeutet jedoch nicht, dass die USA über ein einheitliches und dem schweizerischen Recht gleichwertiges Datenschutzrecht verfügen. Der Beschluss hat lediglich zur Folge, dass US-Unternehmen aufgrund ihrer Zertifizierung und Anerkennung der Bestimmungen des Swiss-US DPF der Angemessenheitsprüfung standhalten und damit ein ausreichendes Schutzniveau nachweisen. Das Swiss-US DPF ist grundsätzlich als Dauerlösung konzipiert. Da sich die Gesetzgebung sowohl in den USA als auch in der Schweiz ändern kann, wird der Bundesrat die relevanten Entscheide laufend beobachten und seinen Angemessenheitsentscheid wiederholt überprüfen. Sollte das Swiss-US DPF dieser Überprüfung nicht standhalten, wird der Angemessenheitsentscheid zurückgezogen oder angepasst.

Für nähere und weitergehende datenschutzrechtliche Fragen im Zusammenhang mit der Übermittlung von Personendaten steht Dir unser Team gerne beratend zur Verfügung.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum