Direkt zum Inhalt wechseln

Das Eidgenössische Justiz- und Polizeidepartement lies auf unsere Anfrage hin verlauten, dass sich die Verhandlungen mit den USA in einem fortgeschrittenen Stadium befinden, es jedoch noch zu keinem Abschluss gekommen sei. Wann mit einem Abschluss zu rechnen ist, könne zum jetzigen Zeitpunkt noch nicht mitgeteilt werden.

Was bisher geschah und was dies für Sie als Unternehmen bedeutet, haben wir hier für Sie zusammengefasst.

Seit dem 1. September 2023 ist das neue Schweizer Datenschutzgesetz (DSG, SR 235.1) und damit auch die entsprechende Verordnung des Bundesrates (DSV, 235.11) in Kraft.

Nach dem neuen DSG ist der Bundesrat und nicht mehr wie bisher der EDÖB für die Angemessenheitsentscheide bezüglich des Datenschutzes in einem anderen Drittland zuständig. Jene Länder, welche ein angemessenes Datenschutzniveau aufweisen, werden in der DSV in Anhang 1 aufgeführt und gelten aus Sicht des Datenschutzes nicht mehr als unsicheres Drittland.

Nach dem Urteil des EuGH in der Sache „Schrems II“ (Rechtssache C 311/18) am 16. Juli 2020 und dem damit verbundenen Scheitern des Privacy Shield-Abkommens mit den USA hat die Schweiz zusammen mit der EU neue Verhandlungen aufgenommen, um ein datenschutzkonformes Abkommen mit den USA zu erreichen. Um weiterhin einen sicheren Datenfluss mit den USA zu gewährleisten, wurden von der EU im Jahr 2021 neue Standartvertragsklauseln (Standart Contractual Clauses, SCC) veröffentlicht. Diese sind modulartig aufgebaut und können in unserem SCC Generator zusammengestellt werden. Im Zuge der Schrems II Rechtsprechung obliegt den Unternehmen die Pflicht neben der Datenschutzfolgeabschätzung (DFA) im Vorfeld des Vertragsschlusses eine sogenanntes Transfer Impact Assessments (TIA) bei Drittlandtransfers durchzuführen. Anhand dieses TIA muss eine Risikobewertung durchgeführt werden, ob genügende verfahrensrechtliche Garantien für die betroffene Person bestehen, die dem Standard der EU Charta bzw. in der Schweiz der Schweizer Bundesverfassung (BV, SR 101) sowie der Europäischen Menschenrechtskonvention (EMRK, SR 0.101) entsprechen.

Das neue „Data Privacy Framework“ (DPF) soll nun neu den sicheren Datenfluss zwischen den USA und Europa gewährleisten. Im Zusammenhang mit dem Abschluss dieses Rahmenabkommens sollen denn auch die USA durch Bundesratsbeschluss als Staat mit angemessenem Datenschutzniveau unter bestimmten Voraussetzungen in den Anhang 1 aufgenommen werden. Bei diesen Voraussetzungen handelt es sich im Wesentlichen um die Teilnahme der betreffenden US-Unternehmen an diesem Rahmenabkommen. Seit dem 1. September 2023 warten die Schweizer Unternehmen deshalb gespannt auf den Entscheid des Bundesrates, um diese Rechts- und damit Compliance-Unsicherheit zu beseitigen.

Das Eidgenössische Justiz- und Polizeidepartement lies auf unsere Anfrage hin verlauten, dass sich die Verhandlungen mit den USA in einem fortgeschrittenen Stadium befinden, es jedoch noch zu keinem Abschluss gekommen sei. Wann mit einem Abschluss zu rechnen ist, könne zum jetzigen Zeitpunkt noch nicht mitgeteilt werden.

Damit bleibt der Anhang 1 der DSG vorerst unverändert. Die USA sind aus datenschutzrechtlicher Sicht weiterhin als unsicheres Drittland zu behandeln.

Was bedeutet dies nun für Sie als Unternehmen?

Obwohl ein baldiger Abschluss der Verhandlungen und die Einführung des DPF noch in diesem Jahr zu erwarten sind, ist die rechtliche Realität weiterhin unverändert. Sowohl der Abschluss von SCC’s wie auch die Datenschutzfolgeabschätzung mit einem Transfer Impact Assessments (Vorlage dazu finden sie in unserem Shop hier) müssen unter geltendem Recht des DSGs weiterhin gemacht werden. Die Nichteinhaltung dieser Anforderungen bis zum Abschluss des DPF birgt das Risiko, bei einem Vorfall die (noch) geltenden gesetzlichen Anforderungen nicht zu erfüllen.

Die Konsequenzen dafür können unter anderem nach Art. 61 DSG bis zu 250’000 CHF Busse für Sie als verantwortliche Privatperson sein. Darum empfehlen wir weiterhin die bestehenden Compliance-Vorgaben zu erfüllen und bei Datentransfers in die USA eine Datenschutzfolgeabschätzung sowie eine Transfer Impact Assessment durchzuführen.