Datenschutz Verstehen – Datenübertragungen in die Schweiz
Neues Schweizer Bundesgesetz über den Datenschutz wurde datiert! Erfahren Sie hier die neuste Entwicklung zum Datenschutzgesetz in der Schweiz.
Kurze Einleitung
Die Verarbeitung von personenbezogenen Daten von europäischen Bürgern außerhalb der Europäischen Union stellt Unternehmen oft vor ungeahnten Schwierigkeiten. In diesem Zusammenhang enthält die europäische Datenschutz-Grundverordnung (DSGVO) unterschiedliche Möglichkeiten für die Übertragung von personenbezogenen Daten in sog. Drittländer, also Staaten, die nicht Mitglied der Europäischen Union (EU) sind, wie z.B. die USA. Insbesondere die Schweiz steht in der Diskussion um die Übertragung von personenbezogenen Daten in Drittländer häufig im Fokus. In unserem Blogbeitrag erfahren Sie, wie die datenschutzrechtliche Situation um die Übertragung von personenbezogenen Daten in die Schweiz und die Verarbeitung von personenbezogenen Daten von europäischen Bürgern durch Unternehmen aus der Schweiz zu beurteilen ist. Darüber hinaus vergleichen wir für Sie das nationale deutsche Bundesdatenschutz (BDSG-neu) mit dem Bundesgesetz über den Datenschutz aus der Schweiz.
Inhalt:
- Datenschutz in der Schweiz
- Wann dürfen personenbezogene Daten in die Schweiz übertragen werden?
- Was gilt für europäische Unternehmen, die Daten in die Schweiz übertragen?
- Was gilt für Schweizer Unternehmen, die Daten von Europäern verarbeiten?
- Was sind die Unterschiede zwischen der DSGVO und dem Datenschutz der Schweiz?
Datenschutz in der Schweiz
Durch das Inkrafttreten der Datenschutz-Grundverordnung (EU), ist die Schweiz gezwungen das Datenschutzniveau anzupassen, damit die EU den Schutz von personenbezogenen Daten in der Schweiz als gleichwertig anerkennt. Sollte das Datenschutzniveau als nicht gleichwertig oder gar unangemessen bewertet werden, hätte dies schwerwiegende Folgen für den Wirtschaftsstandort Schweiz. Der schweizer Bundesrat hat, vor diesem Hintergrund, bereits im September 2017 den Entwurf eines totalrevidierten Datenschutzgesetzes (E-DSG) publiziert.
Die Verarbeitung von Daten gehört in der heutigen Zeit zur normalen Arbeitswelt dazu. Die Starke Vernetzung unter den Ländern führt folglich auch zu einem immer weiter steigenden Datenaustausch. Dem ist sich auch das schweizer Parlament bewusst und verabschiedet nach fast vierjährigem Gesetzgebungsverfahren die DSG-Revision. Ende September 2020 kam es sodann zu einer Vielzahl von Angleichungen an die Europäische Datenschutzgrundverordnung. Ende 2016 begann bereits die Arbeit an einem Vorentwurf einer Totalrevision des Schweizer Datenschutzgesetzes. Darauf folgte im September 2017 ein Gesetzesentwurf des Bundesrats. Weitere Ergebnisse wurden durch zahlreiche Debatten im Parlament errungen und 2020 resultierte aus der Einigungskonferenz die neue DSG-Revision. Dies hat selbstverständlich nicht nur für schweizer Unternehmen Folgen, sondern insbesondere auch für europäische bzw. deutsche Unternehmen, die im Austausch mit der Schweiz stehen. Was genau in der DSG-Revision geregelt ist und wie sie sich von der DSGVO abhebt haben wir bereits in einem eigenen Blogbeitrag behandelt.
Die Totalrevision des DSG wird derzeit vom schweizer Parlament beraten. Sie hat insbesondere zum Ziel, den Datenschutz an den technologischen Fortschritt anzupassen und die Stellung der schweizer Bürger zu stärken. Im Fokus steht darüber hinaus, dass die Datenübermittlung zwischen der Europäischen Union und der Schweiz möglichst ohne zusätzliche Formalitäten erfolgen kann.
Existiert für ein Drittland kein Angemessenheitsbeschluss, ist eine Datenübermittlung zwischen den Ländern nicht grundsätzlich ausgeschlossen. Vielmehr muss der Verarbeiter auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann durch den Einsatz von Standard-Datenschutzklauseln, bei Datenübertragungen innerhalb eines Konzerns durch Binding Corporate Rules oder durch eine Verpflichtung zur Einhaltung von Verhaltensregeln gewährleistet werden.
Wann dürfen personenbezogene Daten in die Schweiz übertragen werden?
Europäische Unternehmen müssen diverse Faktoren berücksichtigen, bevor sie personenbezogene Daten in ein Drittland, wie die Schweiz, übermitteln. Auf der anderen Seite müssen auch Unternehmen aus der Schweiz aufgrund des sog. Marktort-Prinzips die Vorgaben aus der DSGVO einhalten, wenn sie personenbezogene Daten von europäischen Bürgern verarbeiten. Die Zulässigkeit der Übertragung von personenbezogenen Daten in die Schweiz richtet sich unter anderem nach den Art. 44 ff. DSGVO, da die Schweiz kein Mitglied der Europäischen Union ist.
Im Prinzip existieren verschiedene Legitimierungsmöglichkeiten für die Übertragung von personenbezogenen Daten in ein Drittland und damit auch in die Schweiz: Falls ein Angemessenheitsbeschluss gem. Art. 45 Abs. 1, Abs. 3 DSGVO für das betreffende Drittland vorliegt, darf die Übermittlung der personenbezogenen Daten in das Drittland vorgenommen werden. Wenn kein Angemessenheitsbeschluss vorliegt, müssen Garantien i.S.v. Art. 46, 47 DSGVO vorliegen. Diese können beispielsweise EU-Standarddatenschutzklauseln i.S.v. Art. 46 Abs. 2 lit. c), lit. d) DSGVO oder sog. Corporate Binding Rules gem. Art. 46 Abs. 2 lit. b) DSGVO sein. Ausnahmetatbestände von den Erfordernissen aus Art. 45 und Art. 46 DSGVO, wie z.B. eine Einwilligung der betroffenen Person, sind in Art. 49 DSGVO geregelt.
Was gilt für europäische Unternehmen, die Daten in die Schweiz übertragen?
Für die Schweiz existiert als Drittland ein Angemessenheitsbeschluss gem. Art. 45 Abs. 1, Abs. 3 DSGVO. Wenn die sonstigen Bestimmungen der DSGVO, wie z.B. Art. 6 ff., Art. 12 ff. und 28 ff. DSGVO, eingehalten werden, ist eine Übertragung von personenbezogenen Daten in die Schweiz zulässig. Unternehmen aus Europa und Deutschland müssen bei einer geplanten Datenübertragung in die Schweiz also alle Vorgaben aus der DSGVO einhalten, die ohnehin für jede Verarbeitung von personenbezogenen Daten von EU-Bürgern gelten.
Was gilt für Schweizer Unternehmen, die Daten von Europäern verarbeiten?
Unternehmen aus der Schweiz müssen aufgrund des sog. Marktortprinzips gem. Art. 3 Abs. 2 die DSGVO ebenfalls einhalten, wenn sie personenbezogene Daten von Personen verarbeiten die sich in der Europäischen Union befinden und wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist. In einer weiteren Konstellation müssen Unternehmen aus der Schweiz ebenso die DSGVO einhalten: Wenn die Datenverarbeitung im Zusammenhang mit der Beobachtung des Verhaltens von Personen, die sich in der Europäischen Union befinden, steht und soweit ihr Verhalten in der Europäischen Union erfolgt, gelten die Regelungen der DSGVO. Darüber hinaus gilt die DSGVO auch für Unternehmen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt, vgl. Art. 3 Abs. 3 DSGVO.
Was sind die Unterschiede zwischen der DSGVO und dem Datenschutz der Schweiz?
Ähnlich wie in Deutschland existiert in der Schweiz mit dem Bundesgesetz über den Datenschutz (DSG) ein nationales Datenschutzgesetz. Das nationale Datenschutzgesetz in Deutschland trägt die Bezeichnung Bundesdatenschutzgesetz (BDSG-neu). Zwischen beiden Gesetzen existieren gewisse Parallelen. Das DSG regelt, ähnlich wie das hiesige Bundesdatenschutzgesetz, die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen wie Bundesbehörden als auch durch Verantwortliche aus dem privaten Segment. Die Einhaltung des DSG wird von dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten überwacht und kontrolliert. Ähnlich wie im BDSG-neu regelt auch das DSG Informationspflichten, vgl. Art. 14 , 18a DSG. Ähnliche Regelungen gelten auch für Deutschland über die Art. 12 ff. DSGVO. Auch bezüglich der Bildung von Profilen existiert im DSG eine Regelung, ähnlich wie in § 37 BDSG-neu. Darüber hinaus befinden sich im DSG auch Auskunftsrechte (Art. 8), ähnlich wie in der DSGVO und dem BDSG-neu. Zudem schreibt Art. 7 DSG mit dem Titel “Datensicherheit” vor, dass Personendaten durch angemessene technische und organisatorische Maßnahmen gegen unbefugtes Bearbeiten geschützt werden müssen. Regelungen zu technischen-organisatorischen Maßnahmen finden sich in Art. 32, 25 DSGVO und in § 64 BDSG-neu. Regelungen zur Auftragsverarbeitung, die beispielsweise in § 62 BDSG-neu oder Art. 28 ff. DSGVO geregelt sind, befinden sich in Art. 10a DSG.
Weiter zu beachten für Schweizer Unternehmen ist, dass die Bundesversammlung der Schweizerischen Eidgenossenschaft, nach Einsicht in die Botschaft des Bundesrates vom 15. September 2017, das Bundesgesetz über den Datenschutz am 25. September 2020 beschlossen hat. Somit ist das Gesetzgebungsvorhaben zur Revision des DSG abgeschlossen. Hiermit zieht die Schweiz selbst das Schutzniveau auf das Niveau der EU-DSGVO an und es wird vermutet, dass so der Angemessenheitsbeschluss der Schweiz von der EU-Kommission Gültigkeit behält. Lesen Sie hier mehr zur Revision des DSG.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
