Personendaten von Kunden, Mitarbeitern, Geschäftspartnern usw. lassen sich zwar mühelos um den Globus schicken, aber nicht immer sorglos. Das Datenschutzverständnis in Ländern ausserhalb der Schweiz unterscheidet sich von dem hiesigen teilweise erheblich. Deshalb greifen beim internationalen Datentransfer jeweils besondere Vorschriften des Bundesgesetzes für den Datenschutz (DSG), die sowohl von Verantwortlichen als auch von Auftragsbearbeitern eingehalten werden müssen.
Laut DSG dürfen Personendaten nur dann ins Ausland bekannt gegeben werden, wenn das Empfängerland einen angemessenen Schutz gewährleistet. Zudem liegt es nicht mehr am Datenexporteur zu beurteilen, ob ein Staat ein angemessenes Datenschutzniveau bietet oder nicht. Dies wird zukünftig vom Bundesrat autoritativ entschieden – analog zur Europäischen Kommission im Europäischen Wirtschaftsraum. Dafür entfällt mit Inkrafttreten des DSG die Meldepflicht an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Notwendigkeit von angemessenen Garantien zur Bekanntgabe ins Ausland
Im Zuge der globalen Vernetzung von Unternehmen und der Auslagerung von Geschäftsprozessen werden Personendaten regelmässig auch in Staaten ausserhalb der Schweiz übermittelt. Aus wirtschaftlicher Sicht ist der Datentransfer ins Ausland nicht mehr wegzudenken. Nicht nur internationale Konzerne, sondern auch kleine und mittelständische Unternehmen nutzen Angebote zu Rechnungslegung, Reisemanagement oder Cloud-Computing aus dem Ausland. Als Bekanntgabe gilt aber auch der Fernzugriff, wenn ein Dienstleister mit Sitz im Ausland remote auf Personendaten eines Schweizer Unternehmens zugreift. Auch beim internationalen Datentransfer zwischen Konzernunternehmen greifen die besonderen Vorschriften des DSG.
Das DSG regelt in Abschnitt 3, unter welchen Voraussetzungen Personendaten die Schweiz verlassen dürfen. Diese Regelungen sollen den betroffenen Personen garantieren, dass der Schutz ihrer Daten nicht durch Übermittlungen ins Ausland unterlaufen wird. Auch soll so kein sogenannter Safe Haven für die Bearbeitung von Personendaten ausserhalb der Schweiz entstehen, was Schweizer Unternehmen diskriminieren könnte. Die Voraussetzung der Garantien zum Datenschutzniveau im Ausland soll daher den Spagat zwischen der Notwendigkeit des Datentransfers für die Wirtschaft und dem Persönlichkeitsschutz der betroffenen Personen ermöglichen.
Datenschutzgarantien für die Bekanntgabe ins Ausland
Abschnitt 3 DSG zeigt Wege auf, wie man die Bekanntgabe von Personendaten ins Ausland rechtskonform gestalten kann. Diese sollten Unternehmen unbedingt beachten. Denn Verstösse gegen diese Vorschriften sind mit empfindlichen Sanktionen bewährt (siehe unten).
Vor der Bekanntgabe ins Ausland muss der Datenexporteur zunächst überprüfen, ob unabhängig von den in den Abschnitt 3 DSG geregelten spezifischen Anforderungen an die Bekanntgabe ins Ausland auch alle übrigen Anforderungen des DSG an die vorzunehmende Datenbearbeitung eingehalten werden (1. Stufe). Steht nach diesem Prüfungsschritt einer Bearbeitung nichts entgegen, müssen gemäss Art. 16 zusätzlich die spezifischen Anforderungen an die Bekanntgabe ins Ausland beachtet werden (2. Stufe). Dies gilt auch bei einer weiteren Bekanntgabe der Personendaten durch die empfangende Stelle im Ausland.
Für die 2. Stufe sieht das DGS folgende rechtliche Möglichkeiten für eine zulässige Bekanntgabe ins Ausland vor:
Feststellung der Angemessenheit des Datenschutzniveaus im Ausland durch den Bundesrat
In Länder, die über einen angemessenen gesetzlichen Datenschutz verfügen (siehe die Liste des Bundesrates) dürfen Personendaten ohne Weiteres bekanntgegeben werden. Die Länder der EU bzw. des EWR (Europäischer Wirtschaftsraum) bieten in jedem Fall ein angemessenes Schutzniveau.
Für die USA gilt beispielsweise derzeit kein angemessenes Datenschutzniveau, was sich allerdings durch das geplante Swiss-U.S. Data Privacy Framework ändern würde.
Ein Unternehmen kann also beispielsweise einen Dienstleister in Deutschland oder Frankreich beauftragen, um Personendaten im Auftrag bearbeiten zu lassen, ohne weitere Vorkehrungen zu treffen. Zu beachten ist jedoch, dass die Angemessenheit des Datenschutzniveaus dabei nicht zwingend bedeutet, dass die Verhältnisse gleichartig oder gleichwertig sind. Deshalb ist es erforderlich, im Informationsschreiben zu erwähnen, dass die Daten ins Ausland – wie in diesem Beispiel nach Deutschland bzw. Frankreich – bekanntgeben werden.
Tipp: Geeignete Formulierungen dafür finden Sie in unserer kostenlosen Vorlage für eine Datenschutzerklärung für Ihre Website.
Datenschutzklauseln
Datenexporteure können mit den Empfängern individuelle Datenschutzklauseln ausarbeiten, die einen angemessenen Datenschutz vertraglich sicherstellen. Diese müssen jedoch einige konkrete Punkte enthalten, die in Art. 9 der Verordnung über den Datenschutz (DSV) geregelt werden. Zudem muss der Datenexporteur Massnahmen treffen, dass der Empfänger die vertraglich festgehaltenen Datenschutzklauseln einhält. Insbesondere weil Verträge keinen ausreichenden Schutz bieten, da ausländische Behörden kein Vertragspartner sind und sich somit nicht daran halten müssen. Der Export ist immer nur dann erlaubt, wenn ein geeigneter Datenschutz auch tatsächlich gewährleistet wird.
Bevor die Bekanntgabe der Personendaten an den Empfänger im Ausland stattfinden kann, müssen die Datenschutzklauseln dem EDÖB mitgeteilt werden, damit dieser Stellung dazu nehmen kann. Eine formelle Genehmigung durch den EDÖB ist allerdings nicht vorgesehen.
Abschluss von Standarddatenschutzklauseln
Der Abschluss von Standarddatenschutzklauseln ist in der Praxis die mit am häufigsten angewandte Variante des Datentransfers. Der EDÖB hat angekündigt, zeitnah eine Liste von Standarddatenschutzklauseln (SCC) zu veröffentlichen, die er genehmigt, ausgestellt oder anerkannt hat.
Bereits jetzt ist klar, dass Schweizer Unternehmen die SCC der Europäischen Kommission verwenden können. Ein weiterer Vorteil der SCC der EU-Kommission ist, dass diese auch einen Vertrag zur Auftragsbearbeitung enthalten. Zu beachten ist, dass auch in der Schweiz seit 2023 nur noch die neuen SCC der EU-Kommission genutzt werden dürfen (siehe dazu der Artikel unseres Partnerunternehmens activeMind AG).
Unterliegt die Bekanntgabe von Personendaten ins Ausland nur dem DSG, sind die SCC der EU-Kommission an , insbesondere um sicherzustellen, dass den betroffenen Personen durch die Verwendung der SCC kein Nachteil entsteht. Weitere inhaltliche Anpassungen sind jedoch unzulässig. Unterliegt die Bekanntgabe der Personendaten sowohl dem DSG als auch der EU-Datenschutz-Grundverordnung (DSGVO), können sämtliche Datenbearbeitungen dem Standard der DSGVO unterstellt werden, ohne Anpassungen vornehmen zu müssen.
Die neuen SCC der EU sind modular aufgebaut, damit die Parteien, die Klauseln auf ihren konkreten Datentransfer zuschneiden können. Neben allgemeinen Klauseln müssen die Parteien das für die konkrete Situation passende Modul auswählen:
- Modul 1: Schweizer Verantwortlicher–> Verantwortlicher in unsicherem Ausland
- Modul 2: Schweizer Verantwortlicher –> Auftragsbearbeiter in unsicherem Ausland
- Modul 3: Schweizer Auftragsbearbeiter–> Auftragsbearbeiter in unsicherem Ausland
- Modul 4: Schweizer Auftragsbearbeiter –> Verantwortlicher in unsicherem Ausland
Achtung: Auch beim Abschluss von SCC gilt, dass der Datenexporteur in der Schweiz angemessene Massnahmen trifft, die gewährleisten, dass der Empfänger im Ausland die Klauseln tatsächlich einhält!
Verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules – BCR)
Verbindliche unternehmensinterne Datenschutzvorschriften sind konzernweit gültige, verbindliche Vorgaben zur Regelung von Datenflüssen. Durch sie wird in der gesamten Unternehmensgruppe ein einheitliches Datenschutzsystem errichtet und ein gemeinsamer Datenschutzstandard geschaffen. Diese Regelungen erlangen den Status einer Datenschutzgarantie durch die Genehmigung des EDÖB oder einer für den Datenschutz zuständigen Aufsichtsbehörde aus einem Land mit angemessenen Datenschutzniveau.
Verhaltenskodizes und Zertifizierungen
Wenn durch einen Verhaltenskodex oder eine Zertifizierung ein geeigneter Datenschutz gewährleistet wird, ist es möglich, Personendaten ins Ausland bekanntzugeben. Ausschlaggebend ist, dass der Verhaltenskodex mindestens die Angaben wie die oben beschrieben Datenschutzklauseln (gemäss Art. 9 Absatz 1 DSV) enthält und vorgängig vom EDÖB genehmigt wurden. Zudem muss der Verhaltenskodex bzw. die Zertifizierung mit einer verbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen oder des Auftragsbearbeiters im Ausland verbunden werden, die darin enthaltenen Massnahmen anzuwenden.
Vorliegen einer Ausnahme
Abweichend von Art. 16 DSG enthält Art. 17 DSG einen abschliessenden Katalog von Ausnahmen von der Pflicht, zusätzliche Datenschutzgarantien für den Transfer ins Ausland beizubringen:
- Einwilligung: Wie bisher ist die Einwilligung, die nun ausdrücklich erfolgen muss, vorgesehen. Betroffene müssen im speziellen darauf hingewiesen werden, dass die Personendaten ins Ausland bekanntgegeben werden und nicht mehr geschützt sind.
- Vertrag: Weiterhin dürfen Personendaten ins Ausland bekanntgegeben werden, wenn dies im unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags mit der betroffenen Person steht oder mit einer Person, in deren Interesse der Vertrag abgeschlossen oder abgewickelt werden soll. Letzteres kann der Fall sein, wenn z.B. Personendaten von einer Bank im Rahmen der Ausführung eines Geldgeschäfts ins Ausland bekanntgegeben werden müssen.
- Rechtsansprüche: Ist die Bekanntgabe von Personendaten für die Feststellung, die Ausübung oder zur Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde notwendig, darf dies ebenfalls ohne angemessenen Datenschutz erfolgen.
- Öffentliches Interesse: Weitere Ausnahmen sind vorgesehen für die Bekanntgabe ins Ausland zur Wahrung eines überwiegenden öffentlichen Interesses, im Bereich des Schutzes der körperlichen Unversehrtheit, bezüglich den von der betroffenen Person selbst allgemein zugänglich gemachten Daten und für Daten in einem gesetzlich vorgesehenen Register. Unabhängig von welcher Ausnahme ein Datenexporteur Gebrauch nimmt, muss die betroffene Person über die Ausnahme nach Art. 17 DSG informiert werden. Ebenfalls müssen Datenexporteure gewährleisten, dass bei der Bekanntgabe ins Ausland die Datenschutzgrundsätze nach 6 DSG eingehalten werden.
Sanktionen bei Verstössen im Rahmen von Datentransfers
Bisher wurde die Verletzung der Datenexportbestimmungen meist nicht geahndet. Mit Inkrafttreten des neuen DSG kann ein Verstoss strafrechtlich sanktioniert und mit Busse bis zu CHF 250’000 bestraft werden, wenn vorsätzlich Personendaten unter Verstoss gegen Art. 16 und 17 DSG bekanntgegeben werden. Auch die Verletzung der Melde- und Genehmigungspflicht ist hiervon umfasst. Es muss sich jedoch eine betroffene Person beschweren und einen Strafantrag stellen; der EDÖB kann dies eigenständig nicht veranlassen.
Die Strafvorschriften finden zudem auch für Auftragsbearbeiter Anwendung. Ein Schweizer Unternehmen, welches Daten für einen ausländischen Verantwortlichen in der Schweiz bearbeitet und diese ins Ausland zurückübermittelt, muss also ebenfalls die Vorschriften in Art. 16 und 17 DSG beachten. Somit müssen nicht nur Datenexportverträge mit ausländischen Empfängern von Personendaten abgeschlossen werden, sondern auch, wenn das Schweizer Unternehmen nur Übermittler von solchen ist.
Fazit
Sofern Personendaten in ein Drittstaat mit angemessenem Schutz bekanntgegeben werden, kann eine Übertragung der Daten stattfinden, ohne weitere Massnahmen zu ergreifen.
Ist das Empfängerland jedoch nicht auf der Staatenliste des Bundesrates vertreten, muss mit hinreichenden Garantien ein gemäss den eidgenössischen datenschutzrechtlichen Bestimmungen angemessener Schutz gewährleistet werden.
Zu beachten ist jedoch, dass ein Vertragswerk nicht ausreicht, sobald ein behördlicher Zugriff im Ausland nicht ausgeschlossen werden kann (etwa in den USA). In diesen Fällen müssen weitere Massnahmen ergriffen werden, um solch einen Zugriff auszuschliessen. Ist eine Umsetzung nicht möglich, muss der Datentransfer ausgesetzt bzw. beendet werden.
Unabhängig davon in welches Ausland Personendaten bekanntgeben werden, müssen die allgemeinen Bestimmungen des DSG immer eingehalten werden.