- Einleitung
Am 14. August 2024 hat der Bundesrat beschlossen, die USA auf die Liste der Länder mit einem angemessenen Datenschutzniveau zu setzen. Diese Entscheidung ermöglicht einen sicheren und reibungslosen Austausch von Personendaten zwischen der Schweiz und zertifizierten US-Unternehmen. Dieser neue Datenschutzrahmen tritt am 15. September 2024 in Kraft und erlaubt es, Personendaten ohne zusätzliche Garantien an diese Unternehmen in den USA zu übermitteln. Die Datenschutzverordnung wird durch diesen neuen Beschluss erweitert.
Die Zertifizierung für US-Unternehmen bringt klare Auflagen mit sich: Sie dürfen die erhaltenen Personendaten ausschliesslich für die vorgesehenen Zwecke verwenden, für die sie ursprünglich erhoben wurden. Eine Weitergabe an Dritte, die nicht ebenfalls zertifiziert sind, ist ausgeschlossen. Zudem sind beim Zugriff von US-Behörden auf die übermittelten Daten aus der Schweiz verschiedene Schutzmechanismen vorgesehen, einschliesslich eines Beschwerdeverfahrens für betroffene Personen.
- Praktische Auswirkungen für Unternehmen
Für Unternehmen hat diese Genehmigung folgende praktische Auswirkungen:
2.1 Erleichterung bei Standardvertragsklauseln und Folgenabschätzungen
Mit der Einführung des Schweiz-USA Data Privacy Framework (DPF) ist es für Unternehmen nicht mehr notwendig, Standardvertragsklauseln (SCC) mit DPF-zertifizierten US-Unternehmen abzuschliessen oder eine Folgenabschätzung für den Datentransfer vorzunehmen. Dies vereinfacht den Datenverkehr zwischen der Schweiz und den USA erheblich.
2.2 Überprüfung der Notwendigkeit von SCC
Obwohl SCC für die Übermittlung von Daten an US-Unternehmen, die am Schweiz-USA DPF teilnehmen, nicht mehr zwingend erforderlich sind, sollten Unternehmen prüfen, ob sie weiterhin auf diese Schutzmassnahme setzen möchten. Gründe hierfür könnten sein:
- Sollte ein US-Unternehmen von der DPF-Liste entfernt werden, könnte die Datenübermittlung ohne SCC nicht mehr als ausreichend geschützt angesehen werden. In solchen Fällen könnten bestehende SCC als alternative Schutzmassnahme dienen.
- Die Gültigkeit der EU-US-Datenschutzregelung wird derzeit durch rechtliche Verfahren in der EU infrage gestellt. Sollte der EuGH die Regelung für ungültig erklären, könnte dies auch Auswirkungen auf das Schweiz-USA DPF haben. Unternehmen könnten sich durch die Beibehaltung von SCC gegen zukünftige Unsicherheiten absichern.
2.3 Harmonisierung mit der EU-DSGVO
Seit dem 15. September 2024 wird die Rechtslage in der Schweiz hinsichtlich der Datenübermittlung in die USA wieder mit der EU-DSGVO harmonisiert. Dies folgt dem Inkrafttreten des EU-U.S. DPF im Juli 2023 und schafft vergleichbare Rahmenbedingungen für die Schweiz.
2.4 Veröffentlichung der DPF-Zertifizierungen
Es wird eine Liste geführt und veröffentlicht von US-Unternehmen, die sich zur Einhaltung des Schweiz-USA DPF zertifiziert haben. Diese Liste ist öffentlich zugänglich und kann hier abgerufen werden: https://www.dataprivacyframework.gov/list.
2.5 Informationspflicht in Datenschutzerklärungen
Unternehmen sind weiterhin verpflichtet, in ihren Datenschutzerklärungen über die Datenübermittlung in die USA zu informieren, um Transparenz gegenüber ihren Kunden zu gewährleisten.
- Fazit
Das Schweiz-USA DPF ist als langfristige Lösung für den Datenaustausch zwischen der Schweiz und den USA konzipiert. Der Bundesrat wird jedoch kontinuierlich die relevanten US-Entscheidungen beobachten und den Angemessenheitsentscheid regelmässig überprüfen, um sicherzustellen, dass der Schutz personenbezogener Daten langfristig gewährleistet bleibt.