Datenschutz Schweiz und EU

Datenschutz Verstehen – Datenübertragungen in die Schweiz

Die Verarbeitung von personenbezogenen Daten von europäischen Bürgern außerhalb der Europäischen Union stellt Unternehmen oft vor ungeahnten Schwierigkeiten. In diesem Zusammenhang enthält die europäische Datenschutz-Grundverordnung (DSGVO) unterschiedliche Möglichkeiten für die Übertragung von personenbezogenen Daten in sog. Drittländer, also Staaten, die nicht Mitglied der Europäischen Union (EU) sind, wie z.B. die USA. Insbesondere die Schweiz steht in der Diskussion um die Übertragung von personenbezogenen Daten in Drittländer häufig im Fokus. In unserem Blogbeitrag erfahren Sie, wie die datenschutzrechtliche Situation um die Übertragung von personenbezogenen Daten in die Schweiz und die Verarbeitung von personenbezogenen Daten von europäischen Bürgern durch Unternehmen aus der Schweiz zu beurteilen ist. Darüber hinaus vergleichen wir für Sie das nationale deutsche Bundesdatenschutz (BDSG-neu) mit dem Bundesgesetz über den Datenschutz aus der Schweiz.

 

Datenschutz in der Schweiz

Durch das Inkrafttreten der Datenschutz-Grundverordnung (EU), ist die Schweiz gezwungen das Datenschutzniveau anzupassen, damit die EU den Schutz von personenbezogenen Daten in der Schweiz als gleichwertig anerkennt. Sollte das Datenschutzniveau als nicht gleichwertig oder gar angemessen bewertet werden, hätte dies schwerwiegende Folgen für den Wirtschaftsstandort Schweiz. Der schweizer Bundesrat hat, vor diesem Hintergrund, bereits im September 2017 den Entwurf eines totalrevidierten Datenschutzgesetzes (E-DSG) publiziert.  

Die Totalrevision des DSG wird derzeit vom schweizer Parlament beraten. Sie hat insbesondere zum Ziel, den Datenschutz an den technologischen Fortschritt anzupassen und die Stellung der schweizer Bürger zu stärken. Im Fokus steht darüber hinaus, dass die Datenübermittlung zwischen der Europäischen Union und der Schweiz möglichst ohne zusätzliche Formalitäten erfolgen kann. 

Existiert für ein Drittland kein Angemessenheitsbeschluss, ist eine Datenübermittlung zwischen den Ländern nicht grundsätzlich ausgeschlossen. Vielmehr muss der Verarbeiter auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden. Dies kann durch den Einsatz von Standard-Datenschutzklauseln, bei Datenübertragungen innerhalb eines Konzerns durch Binding Corporate Rules oder durch eine Verpflichtung zur Einhaltung von Verhaltensregeln gewährleistet werden.

 

Wann dürfen personenbezogene Daten in die Schweiz übertragen werden?

Europäische Unternehmen müssen diverse Faktoren berücksichtigen, bevor sie personenbezogene Daten in ein Drittland, wie die Schweiz, übermitteln. Auf der anderen Seite müssen auch Unternehmen aus der Schweiz aufgrund des sog. Marktort-Prinzips die Vorgaben aus der DSGVO einhalten, wenn sie personenbezogene Daten von europäischen Bürgern verarbeiten. Die Zulässigkeit der Übertragung von personenbezogenen Daten in die Schweiz richtet sich unter anderem nach den Art. 44 ff. DSGVO, da die Schweiz kein Mitglied der Europäischen Union ist. 

Im Prinzip existieren verschiedene Legitimierungsmöglichkeiten für die Übertragung von personenbezogenen Daten in ein Drittland und damit auch in die Schweiz: Falls ein Angemessenheitsbeschluss gem. Art. 45 Abs. 1, Abs. 3 DSGVO für das betreffende Drittland vorliegt,  darf die Übermittlung der personenbezogenen Daten in das Drittland vorgenommen werden. Wenn kein Angemessenheitsbeschluss vorliegt, müssen Garantien i.S.v. Art. 46, 47 DSGVO vorliegen. Diese können beispielsweise EU-Standarddatenschutzklauseln i.S.v. Art. 46 Abs. 2 lit. c), lit. d) DSGVO oder sog. Corporate Binding Rules gem. Art. 46 Abs. 2 lit. b) DSGVO sein. Ausnahmetatbestände von den Erfordernissen aus Art. 45 und Art. 46 DSGVO, wie z.B. eine Einwilligung der betroffenen Person, sind in Art. 49 DSGVO geregelt. 

 

Was gilt für europäische Unternehmen, die Daten in die Schweiz übertragen? 

Für die Schweiz existiert als Drittland ein Angemessenheitsbeschluss gem. Art. 45 Abs. 1, Abs. 3 DSGVO. Wenn die sonstigen Bestimmungen der DSGVO, wie z.B. Art. 6 ff., Art. 12 ff. und 28 ff. DSGVO, eingehalten werden, ist eine Übertragung von personenbezogenen Daten in die Schweiz zulässig. Unternehmen aus Europa und Deutschland müssen bei einer geplanten Datenübertragung in die Schweiz also alle Vorgaben aus der DSGVO einhalten, die ohnehin für jede Verarbeitung von personenbezogenen Daten von EU-Bürgern gelten. 

 

Was gilt für Schweizer Unternehmen, die Daten von Europäern verarbeiten?

Unternehmen aus der Schweiz müssen aufgrund des sog. Marktortprinzips gem. Art. 3 Abs. 2 die DSGVO ebenfalls einhalten, wenn sie personenbezogene Daten von Personen verarbeiten die sich in der Europäischen Union befinden und wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist. In einer weiteren Konstellation müssen Unternehmen aus der Schweiz ebenso  die DSGVO einhalten: Wenn die Datenverarbeitung im Zusammenhang mit der Beobachtung des Verhaltens von Personen, die sich in der Europäischen Union befinden,  steht und soweit ihr Verhalten in der Europäischen Union erfolgt, gelten die Regelungen der DSGVO. Darüber hinaus gilt die DSGVO auch für Unternehmen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt, vgl. Art. 3 Abs. 3 DSGVO. 

 

Was sind die Unterschiede zwischen der DSGVO und dem Datenschutz der Schweiz?

Ähnlich wie in Deutschland existiert in der Schweiz mit dem Bundesgesetz über den Datenschutz (DSG) ein nationales Datenschutzgesetz. Das nationale Datenschutzgesetz in Deutschland trägt die Bezeichnung Bundesdatenschutzgesetz (BDSG-neu). Zwischen beiden Gesetzen existieren gewisse Parallelen. Das DSG regelt, ähnlich wie das hiesige Bundesdatenschutzgesetz, die Verarbeitung von personenbezogenen Daten durch öffentliche Stellen wie Bundesbehörden als auch durch Verantwortliche aus dem privaten Segment. Die Einhaltung des DSG wird von dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten überwacht und kontrolliert. Ähnlich wie im BDSG-neu regelt auch das DSG Informationspflichten, vgl. Art. 14 , 18a DSG. Ähnliche Regelungen gelten auch für Deutschland über die Art. 12 ff. DSGVO. Auch bezüglich der Bildung von Profilen existiert im DSG eine Regelung, ähnlich wie in § 37 BDSG-neu. Darüber hinaus befinden sich im DSG auch Auskunftsrechte (Art. 8), ähnlich wie in der DSGVO und dem BDSG-neu. Zudem schreibt Art. 7 DSG mit dem Titel “Datensicherheit” vor, dass Personendaten durch angemessene technische und organisatorische Maßnahmen gegen unbefugtes Bearbeiten geschützt werden müssen. Regelungen zu technischen-organisatorischen Maßnahmen finden sich in Art. 32, 25 DSGVO und in § 64 BDSG-neu. Regelungen zur Auftragsverarbeitung, die beispielsweise in § 62 BDSG-neu oder Art. 28 ff. DSGVO geregelt sind, befinden sich in Art. 10a DSG.

Autor

Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN