Die Datenautobahn zwischen der Schweiz und den USA war lange Zeit von Schlaglöchern und Blockaden geprägt. Strenge Datenschutzauflagen und das Aus für das Swiss-US Privacy Shield haben den Austausch beinahe zum Stillstand gebracht. Doch nun bewegt sich etwas: Ein neues Abkommen bringt frischen Wind in die transatlantischen Datenströme.
Neue Standards im Datenschutz
Für den internationalen Datenaustausch müssen die geltenden Vorschriften des Datenschutzgesetzes (DSG) eingehalten werden. Gemäss DSG dürfen Personendaten aus der Schweiz nur dann ins Ausland übermittelt werden, wenn die Gesetzgebung des betreffenden Staates einen angemessenen Datenschutz bietet oder zusätzliche Massnahmen ergriffen werden, um diesen Schutz sicherzustellen. Im Fall der USA wurde dieser Schutz durch den Swiss-US Privacy Shield gewährleistet, der an das gleichnamige Abkommen der EU mit den USA angelehnt war.
Im Juni 2020 erklärte der Europäische Gerichtshof (EuGH) den EU-US Privacy Shield für ungültig, mit der Begründung, dass die Daten von EU-Bürgern in den USA nicht ausreichend vor staatlicher Überwachung geschützt sind. Er sah die Grundrechte verletzt, da EU-Bürger keine wirksame Möglichkeit hatten, sich gegen unrechtmässige Überwachung oder Datenzugriffe durch US-Behörden zu wehren. In der Folge erklärte auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) den Swiss-US Privacy Shield als unzureichend. Dies führte dazu, dass die Schweiz die USA nicht mehr als Staat mit angemessenem Datenschutz anerkannte.
Infolgedessen mussten sich Schweizer Unternehmen für Datenübermittlungen an Datenimporteure in den USA auf andere Garantien stützen. Eine Möglichkeit war die Verwendung sogenannter Standardvertragsklauseln als Basis für die Datenübermittlung in die USA. Der EDÖB stellte jedoch erhöhte Anforderungen an solche Datentransfers, was Datenexporteure zu umständlichen einzelfallabhängigen Risikoabschätzungen verpflichtete.
Wie das Swiss-US Privacy Framework den Datenschutz gewährleistet
Das neue Swiss-US Data Privacy Framework soll die Rechtssicherheit für den effizienten Datenaustausch zwischen der Schweiz und den USA wiederherstellen. US-Unternehmen treten dem Framework bei, indem sie sich zur Einhaltung spezifischer Datenschutzvorgaben verpflichten und sich entsprechend selbst-zertifizieren. Diese Verpflichtungen umfassen unter anderem die Löschung personenbezogener Daten, sobald der Zweck ihrer Erhebung oder die Sicherstellung des Schutzes und der Zweckgebundenheit der Daten auch bei der Weitergabe an Dritte erfüllt ist. Ausserdem müssen Unternehmen geeignete Massnahmen ergreifen, um die Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen.
Das Framework räumt Schweizer Personen, deren Daten an teilnehmende Unternehmen in den USA übermittelt werden, zudem bestimmte Rechte ein – beispielsweise den Zugang zu ihren Daten sowie die Berichtigung oder Löschung von unrichtigen oder rechtswidrig verarbeiteten Daten. Darüber hinaus bietet es Rechtsbehelfe für den Fall, dass Daten rechtswidrig behandelt werden.
Mehr Effizienz für die Schweizer Internet- und ICT-Branche
Das Swiss-US Data Privacy Framework, das am 15. September mit der Anpassung der Schweizer Datenschutzverordnung in Kraft trat, ist für Schweizer Unternehmen insbesondere in der Internet- und ICT-Branche von zentraler Bedeutung. Es bietet erheblichen Mehrwert:
- Garantierte Rechtssicherheit: Unternehmen können sich darauf verlassen, dass der Datenaustausch mit den USA kosteneffizient und rechtlich abgesichert ist.
-Vereinfachte Compliance-Vorgaben: Die Notwendigkeit, individuelle Risikoabschätzungen und zusätzliche Schutzmassnahmen bei Datentransfers durchzuführen, wird reduziert.
-Gestärkte Wettbewerbsfähigkeit: Durch den erleichterten Datenaustausch können Schweizer Unternehmen ihre Geschäftsbeziehungen mit den USA effizienter gestalten.
Das neue Swiss-US Data Privacy Framework gewährleistet einen sicheren, rechtskonformen und effizienten Datenaustausch zwischen der Schweiz und den USA und sorgt dafür, dass der Datenverkehr wieder ungehindert fliesst.
Der Autor
Quelle: Thomas Entzerot
Simon Ruesch ist Mitglied der Geschäftsleitung von
Swico und vertritt in seiner Rolle als Head Legal & Public Affairs aktiv die Interessen der Schweizer Digitalbranche. Seine Erfahrungen umfassen unter anderem leitende Positionen im Public Affairs und Community Management eines globalen ICT-Beschaffers, bei der Schweizerischen Bankiervereinigung mit Fokus auf Digital-Themen sowie als politischer Mitarbeiter eines Mitglieds des Nationalrats. Ruesch hat einen Master in International Affairs & Governance von der Universität St. Gallen (HSG) und einen CAS in International Policy and Advocacy von der ETH Zürich.
