Wann darf ich Personendaten ins Ausland weitergeben? – Auf dem Weg zum nDSG Teil 7

In diesem Beitrag erfährst Du, wann Du Personendaten problemlos ins Ausland exportieren darfst und wann Du zusätzliche Massnahmen ergreifen musst.

Was bedeutet «Export» überhaupt?

Der Begriff Datenexport ist sehr weit gefasst. Im nDSG meint «Datenexport», dass Personendaten «ins Ausland bekanntgeben» werden. Darunter versteht man sowohl die Übermittlung wie auch das blosse Zugänglichmachen von Personendaten an Personen im Ausland. Du exportierst Personendaten ins Ausland, wenn Du beispielsweise:

• Personendaten per E-Mail versendest und sich der Server der empfangenden Person im Ausland befindet;

• Dienstleistungsunternehmen wie DropBox, die ihre Server im Ausland haben, zum Speichern von Personendaten verwendest; oder

• Personendaten innerhalb eines Konzerns an eine Konzerngesellschaft im Ausland weiterleitest.

Keinen Datenexport liegt vor, wenn die Daten anonymisiert oder pseudonymisiert sind (erfahre mehr).

Wann ist ein Datenexport ins Ausland gemäss der nDSG problemlos gestattet?

Der Datenexport von der Schweiz in bestimmte Länder ist ohne weitere Massnahmen gestattet. Hierfür muss das Empfängerland ein ähnliches Datenschutzniveau wie die Schweiz haben. Dabei wird von der Schweiz das Datenschutzniveau der anderen Länder geprüft und ein sog. «Angemessenheitsbeschluss» erlassen, wenn beim anderen Land ein ähnlicher Datenschutz festgestellt wird. Die Länder, deren Datenschutzniveau als angemessen anerkannt wird, werden in eine Staatenliste eingetragen, die im Anhang der DSV ersichtlich ist. In diese Länder dürfen Personendaten ohne weitere Massnahmen exportiert werden.

Das nDSG orientiert sich sehr stark am Datenschutzniveau der EU. Folgerichtig wurden alle EU- und EWR-Staaten bei der Überprüfung der Schweiz als angemessen eingestuft. D.h. der Datenexport von der Schweiz in ein EU- oder EWR-Land kann problemlos erfolgen.

Bei einem anstehenden Datenexport solltest Du also zunächst abklären, in welchem Land der Sitz Deines Vertragspartners ist und wo dessen Server stationiert sind. Handelt es sich um ein Land mit einem Schweizerischen Angemessenheitsbeschluss, kannst Du die Personendaten problemlos exportieren, weil zwischen der Schweiz und diesen Ländern ein freier Datenaustausch herrscht.

Bei welchen Datenexporten musst Du besonders vorsichtig sein?

Liegt für das Empfängerland Deines Datenexportes kein Angemessenheitsbeschluss der Schweiz vor, musst Du den Export anders rechtfertigen. Den Export kannst Du beispielsweise rechtfertigen indem:

• die Einwilligung zum Export der Personendaten von der betroffenen Person vorliegt;

• die Bekanntgabe ins Ausland in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages steht;

• andere geeignete Garantien zwischen dem Exporteur und dem Empfänger der Personendaten vereinbart wurden, welche die Rechte der betroffenen Personen gewährleisten. Hierbei werden häufig die sog. Standardvertragsklauseln verwendet.

Das bedeutet für Dich: Wenn Du einen Datenexport in ein Land ohne Angemessenheitsbeschluss planst, klärst Du zunächst ab, ob die betroffene Person in den Datenexport eingewilligt hat. Des Weiteren ist zu prüfen, ob der Export in einem unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages steht. Dieser Rechtfertigungsgrund ist jedoch stark eingeschränkt, da der Datenexport wirklich erforderlich sein muss für die Erfüllung des Vertragszwecks. Wenn der Datenexport bloss im Rahmen der Vertragserfüllung geschieht und nicht zwingend erforderlich ist, sind die Voraussetzungen nicht erfüllt. Erfasst sind demnach bspw. Hotelreservierungen oder eine Banküberweisung in ein Land ohne Angemessenheitsbeschluss. Die Bearbeitung von Personendaten mittels einer Cloud fällt nicht unter diesen Rechtfertigungsgrund.

Einwilligungen sollten nur in Einzelfällen und nicht für die systematische Bearbeitung verwendet werden. Denn Einwilligungen können grundsätzlich widerrufen werden. Ein solcher Widerruf kann eine umständliche Datenumstrukturierung zur Folge haben, weil hierdurch der Rechtfertigungsgrund nachträglich wegfällt.

Liegt weder eine Einwilligung noch ein Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages vor, brauchst Du für Deinen Export andere geeignete Garantien. Die Ausgestaltung solcher Garantien können sehr komplex sein, weshalb Du eine juristische Fachperson beiziehen solltest.

Was droht Dir, wenn Du die Datenexport Vorgaben nicht einhältst?

Im nDSG werden Verstösse gegen die Datenexportbestimmungen mit einer Busse bis zu CHF 250'000 sanktioniert. Diese Bussen treffen nicht das Unternehmen, sondern diejenige Privatperson, die im Unternehmen für die Datenbearbeitung zuständig ist. Weitere Informationen zu den Sanktionen unter dem nDSG findest Du hier.

Exkurs USA

Für die USA besteht von der Schweiz kein Angemessenheitsbeschluss. Dementsprechend ist bei einer Datenübermittlung an US-Anbieter wie Google, Facebook, Microsoft etc. besonders Vorsicht geboten. Hierbei bleibt zu prüfen, wer genau der Vertragspartner ist. Oftmals haben die grossen US-Anbieter Tochterfirmen in der EU. Wenn Du Deinen Vertrag mit der Tochterfirma in der EU abgeschlossen hast und lediglich Personendaten zu dieser Tochtergesellschaft exportierst, benötigst Du keinen Rechtfertigungsgrund. Mehr zu diesem spezifischen Fall findest Du hier.

Ist Dein Vertragspartner allerdings in den USA stationiert, ist der Datenexport ohne einen Rechtfertigungsgrund nicht zulässig. Du solltest also bei Datenexporten in die USA besonders Acht geben und genau abklären, ob Du einen Rechtfertigungsgrund für den Datenexport hast. Hierbei können Dir unsere Anleitung zum Datenexport und Blogbeiträge zu den Themen: Transfer Impact Assessment (TIA), Überwachungsmassnahmen in den USA und neues Rahmenabkommen für den Datentransfer zwischen der EU und den USA ein grosse Hilfe sein.

Für Personen, die sich ein vertieftes Wissen im Schweizerischen und europäischen Datenschutzrecht verschaffen möchten, empfehlen wir «Datenschutzrecht für Schweizer Unternehmen, Stiftungen und Vereine». Eine unabdingbare und leicht verständliche Lektüre für die Umsetzung des neuen Datenschutzrechts. Zum Buch geht es hier.