Die kantonale Behörde für Datenschutz des Kantons Freiburg ruft öffentliche Organe zur Vorsicht auf bei der Auslagerung sensibler Daten an US-amerikanische Unternehmen. Den Beschluss des Bundesrates, dass "zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau aufweisen", wollen die Datenschützer nicht als Freibrief für das Outsourcing verstanden wissen.
Vielmehr müssten öffentliche Stellen, die dem Freiburger Gesetz über den Datenschutz (
DSchG) unterstehen, sicherstellen, dass die gesetzlichen Anforderungen eingehalten werden. Die Verarbeitung von personenbezogenen und insbesondere sensiblen Daten könne nur unter den im DSchG festgelegten Bedingungen ausgelagert werden, erklärt die kantonale Behörde für Öffentlichkeit, Datenschutz und Mediation in einer Mitteilung.
Bundesrat und die US-Unternehmen
Gemäss dem Bundesgesetz über den Datenschutz (DSG) dürfen Personendaten ins Ausland bekannt gegeben werden, wenn der Bundesrat festgestellt hat, dass der betreffende Staat über ein angemessenes Schutzniveau verfügt. Wie die Freiburger Datenschützer weiter festhalten, gelte das auch für Unternehmen, die gemäss dem Datenschutzrahmen zwischen der Schweiz und den USA ("
Swiss-U.S. Data Privacy Framework") zertifiziert worden sind.
Die aufgeführten Unternehmen müssten ihre Zertifizierung jedes Jahr erneuern, betont die Behörde. Ausserdem überprüfe der Bundesrat regelmässig die Bedingungen für den Angemessenheitsbeschluss, der auch jederzeit widerrufen werden könne. Auf der Liste sind alle US-amerikanischen Hyperscaler inklusive ihrer Tochterfirmen – zum Beispiel Oracle und das Gesundheitsinformatik-Unternehmen Cerner – zu finden.
Das letzte Wort bei einer Auslagerung der Datenverarbeitung hat also das Freiburger Gesetz. Die Verantwortung für das gesetzeskonforme Outsourcing an ein zertifiziertes Unternehmen in den USA trage ausschliesslich die öffentliche Organisation, betonen die Datenschützer.
Update (13.11.): Eine Grundlage der News war eine Medienmitteilung des Kantons Freiburg. Allerdings wies die Staatskanzlei, die ursprünglich als Absender der Mitteilung angegeben war, darauf hin, dass die Mitteilung ausschliesslich von der kantonalen Datenschutzbehörde veröffentlicht wurde. Der Text wurde entsprechend korrigiert.