Swiss-US Data Privacy Framework – der aktuelle Stand in der Schweiz

Am 1. Juli 2023 trat das EU-US Data Privacy Framework in Kraft, mit dem der Austausch von Personendaten zwischen der EU und den USA erleichtert werden soll. Die Schweiz möchte mit dem Swiss-US Data Privacy Framework entsprechend nachziehen, jedoch lässt sich die Eidgenossenschaft etwas Zeit. Den aktuellen Stand und einige Ausführungen zu den Schweizer Besonderheiten enthält der folgende Beitrag.

Das Privacy Framework ist bereits der dritte Anlauf, um eine datenschutzrechtlich zulässige Übermittlung von Personendaten von der EU in die USA umzusetzen. Die EU hatte dazu bereits zwei Abkommen mit den USA getroffen – das Safe Harbor Abkommen aus dem Jahr 2000 und das EU-US Privacy Shield aus dem Jahr 2016, die beide durch die sogenannten Schrems-Urteile aufgehoben wurden. Nachfolger ist nun das EU-US Data Privacy Framework, für das die Europäische Kommission im Juli 2023 den Angemessenheitsbeschluss erteilt hat. Ab diesem Zeitpunkt kann es als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen. Wichtig ist jedoch zu prüfen, ob der amerikanische Datenempfänger eine Zertifizierung vorweisen kann, besonders bei kleineren Organisationen bestehen hier bereits Schwierigkeiten.

Aber nun zum Blick auf die Schweiz: Am 1. September 2023 ist das neue Schweizer Datenschutzgesetz in Kraft getreten – am 15. Januar 2024 hat die EU den entsprechenden Angemessenheitsbeschluss gefasst, damit ist unkomplizierter Personendatenaustausch zwischen der Schweiz und der EU gewährleistet. Mit dem revidierten Gesetz sind die datenschutzrechtlichen Pflichten deutlich ausgebaut worden. Neu sind beispielsweise Bußen von bis zu 250.000 CHF möglich (früher max. 10.000 CHF), auch entscheidet jetzt der Schweizer Bundesrat über das Vorliegen eines angemessenen Datenschutzniveaus in Drittländern und listet diese Länder im Anhang 1 der Verordnung zum DSG auf. Die USA ist auf dieser Liste nicht zu finden, sodass die Datenübermittlung in die USA aus Sicht der Schweiz aktuell weiter als heikel einzustufen ist.

Während sich Datenübermittler aus dem EU-Raum nun auf das neue EU-US Data Privacy Framework stützen können, haben es Schweizer Unternehmen nach der gegenwärtigen Rechtslage in der Eidgenossenschaft deutlich schwerer. Das zukünftige Schweizer Pendent zum EU-US Data Privacy Framework soll Swiss-US Data Privacy Framework heißen und befindet sich derzeit noch in der Schwebe. Die Datenschutzbehörde auf Bundesebene, also der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (kurz EDÖB), hat in einer Kurzmitteilung verlauten lassen, dass man den Angemessenheitsbeschluss der EU hinsichtlich des EU-US Data Privacy Framework zur Kenntnis genommen hat. Gleichzeitig wurde darauf verwiesen, dass die Schweiz ebenfalls mit den USA daran arbeitet, das Swiss-US Data Privacy Framework auszuhandeln und dass man hier bereits wichtige Fortschritte machen konnte. Ob und wann das Abkommen für die Schweiz kommen wird, ist nach wie vor offen – somit ist die Rechtslage in der Schweiz bzgl. der Übermittlung von Personendaten in unregulierte Drittländer derzeit unverändert und es benötigt einiges, um die notwendige Datenschutz-Compliance bei der Datenübermittlung in die USA herzustellen.

Demnach müssen gegenwärtig, um weiterhin einen sicheren Datenfluss mit den USA zu gewährleisten, die von der EU im Jahr 2021 erlassenen neuen Standartvertragsklauseln mit dem jeweils richtigen Modul abgeschlossen werden. Wichtig ist, dass die überarbeiteten Klauseln vom 4. Juni 2021 verwendet werden, da der EDÖB nur diese als hinreichende Garantien gem. DSG anerkannt hat. Jedoch müssen die Standartvertragsklauseln noch um das sog. Swiss Finish gem. EDÖB erweitert werden, damit sie in der Schweiz ihre Gültigkeit haben. Aus der Anwendung der Standartdatenschutzklauseln ergibt sich unmittelbar auch die Pflicht zur Durchführung eines Transfer Impact Assessment (kurz TIA). Das TIA ist eine Art Risikobewertung für Datenübermittlungen in unsichere Drittländer, indem analysiert wird, ob es im konkreten Fall zu einem problematischen Behördenzugriff kommen kann. Zudem muss gem. DSG auch eine sog. Datenschutzfolgenabschätzung vorab durchgeführt werden. Die Datenschutzfolgenabschätzung ist eine Art Compliance-Instrument, d.h. damit wird eine datenschutzrechtliche Selbstbeurteilung von geplanten Projekten aus Datenschutzsicht durchgeführt. Ist das Resultat, dass sich ein hohes Datenschutzrisiko aus dem geplanten Projekt ergibt, so muss dieses dem EDÖB zur Konsultation vorgelegt werden oder, wenn ein Datenschutzberater benannt wurde, muss dieser das Ergebnis beurteilen.

Mit dem Abschluss des Swiss-US Data Privacy Framework würde der o.g. Aufwand teilweise entfallen, insoweit ist es absolut nachvollziehbar, dass das Abkommen sehnlich erwartet wird. Ob dieses Abkommen künftig Bestand haben wird, ist indes fraglich, da die nächste Schrems-Entscheidung wohl nur eine Frage der Zeit sein wird.

Anja Schmitz