Ein neuer Datenschutzrahmen ermögliche einen sicheren Austausch von Personendaten zwischen der Schweiz und zertifizierten US-Unternehmen. Zu diesem Schluss kommt der Bundesrat an seiner Sitzung vom 14. August 2024. Er hat entsprechende Änderungen der Datenschutzverordnung (DSV) genehmigt und die USA in diesem Umfang auf die Liste der Länder mit einem angemessenen Datenschutzniveau gesetzt.
Unter dem "Swiss-U.S. Data Privacy Framework" können gemäss der Mitteilung künftig Personendaten aus der Schweiz an zertifizierte Unternehmen in den USA übermittelt werden – und zwar ohne zusätzliche Garantien. Mit der Zertifizierung solle sichergestellt werden, dass die vorgesehenen Datenschutzmassnahmen und Datenschutzgarantien eingehalten werden. Namentlich dürfen diese Unternehmen Daten nur für diejenigen Zwecke bearbeiten, für die sie erhoben wurden.
Selbstzertifierung der Firmen
Dort ist ebenfalls zu lesen, dass US-Unternehmen sich selber entsprechend zertifizieren können. Die Entscheidung, ob ein US-Unternehmen am Data Privacy Framework (DPF) teilnimmt, sei freiwillig, schreibt die zuständige Internationale Handelsorganisation (ITA). Sobald sich eine Organisation aber gegenüber der ITA zertifiziere und öffentlich erkläre, dass sie sich zur Einhaltung der DPF-Grundsätze verpflichte, sei diese Verpflichtung nach amerikanischem Recht einklagbar.
Längst fälliger Beschluss?
Im Rahmen des Frameworks sei die Weitergabe an Dritte wie beispielsweise an nicht zertifizierte Unternehmen nicht zulässig, heisst es vom Bundesrat weiter. "Beim Zugang durch US-Behörden auf Personendaten, die von der Schweiz bekanntgegeben werden, sind verschiedene Garantien vorgesehen, einschliesslich eines Beschwerdemechanismus."
Der auf IT spezialisierte Anwalt Sven Kohlmeier begrüsst in einem Linkedin-Beitrag den Beschluss. Dieser sei längst überfällig, mache den Datentransfer für Unternehmen wirtschaftsfreundlicher und entspreche der EU-Praxis. Auch der Verband Swico spricht von einem "lang erwarteten" Abkommen und begrüsst das Framework. Es biete Rechtssicherheit und vereinfache die Compliance-Vorgaben.
Liste von Ländern mit angemessenem Schutzniveau
Seit das neue Schweizer Datenschutzrecht in Kraft ist, dürfen Personendaten ohne zusätzliche Garantien nur dann ins Ausland übermittelt werden, wenn im Empfängerstaat ein angemessenes Datenschutzniveau besteht. Welche Staaten diese Voraussetzung erfüllen, wird vom Bundesrat festgelegt und auf einer verbindlichen Liste publiziert.
Die EU und die USA haben im Juli 2023 das "EU-U.S. Data Privacy Framework" in Kraft gesetzt. Mit dem Swiss-US DPF schafft der Bundesrat jetzt gleiche Rahmenbedingungen in der Schweiz.