Übermittlung von Personendaten ins Ausland
Ausgangslage
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) macht über seine «online» Mitteilung und Hilfestellung zum Thema «Datenbekanntgabe ins Ausland» [Abruf am 31.08.23] folgende einleitende Aussage:
«Die Übermittlung von Personendaten ins Ausland durch private Unternehmen oder Bundesorgane ist nur unter gewissen Voraussetzungen möglich. Es kommt darauf an, in welches Land die Daten übermittelt werden sollen, und es müssen – je nach Land – gewisse Vorkehrungen getroffen werden.
Personendaten dürfen grundsätzlich nur ins Ausland übermittelt werden, wenn im Empfängerland ein angemessenes Datenschutzniveau besteht.»
Es ist davon auszugehen, dass bei den betrieblichen Abläufen in Schweizer Unternehmen viele «Schweizer» Personendaten ins Ausland übermittelt werden; zumindest ist es sehr wahrscheinlich, dass der Zugriff auf diese Daten vom Ausland aus ermöglicht wird, beispielsweise wenn Schweizer Unternehmen Cloud-Provider oder Software-as-a-Service (SaaS) Dienste nutzen. In diesem Beitrag wird versucht, dieses sehr vielschichtige Thema verständlich und zugänglich zu machen.
Zu erfüllende Voraussetzungen
Ob Personendaten ins «Ausland» übermittelt werden dürfen, hängt einerseits von der Erfüllung bestimmter Bedingungen zum Schutz der betroffenen Personendaten seitens der «Verantwortlichen» ab. Andererseits kommt die Beurteilung des Bundesrats ins Spiel, der mit dem dem neuen Datenschutzgesetz ausdrücklich die Zuständigkeit dafür übernimmt, die «Angemessenheit» des Datenschutzrechts von betreffenden «Empfängerstaaten» (bzw. «Empfängerorganisationen») einheitlich zu prüfen. Der EDÖB wird bei jeder solchen «Beurteilung» vom Bundesrat konsultiert.
Die rechtlichen Rahmenbedingungen für eine Datenbekanntgabe ins Ausland werden in Artikel 16 (Grundsätze) DSG vorgegeben:
«1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:
- einen völkerrechtlichen Vertrag;
- Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
- spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
- Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
- verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.
3 Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.»
Ausnahmen
Das DSG sieht Ausnahmefälle vor, in denen Personendaten ins Ausland bekanntgegeben werden dürfen, wenn im betreffenden Staat kein «angemessener» Schutz besteht.
Diese Ausnahmen sind in Artikel 17 (Ausnahmen) DSG normiert. (In diesem Beitrag werden sie nicht weiter behandelt.)
«1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
- Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
- Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
- zwischen dem Verantwortlichen und der betroffenen Person; oder
- zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
- Die Bekanntgabe ist notwendig für:
- die Wahrung eines überwiegenden öffentlichen Interesses; oder
- die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
- Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
- Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
- Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2 Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
Bestimmung eines angemessenen Schutzniveaus im ausländischen Staat durch den Bundesrat
Zunächst besagt Artikel 16 Absatz 1 DSG, dass Personendaten nur ins Ausland bekanntgegeben werden dürfen, wenn die Gesetzgebung des Empfängerstaates einen angemessenen Schutz gewährleistet. Absatz 1 bezieht sich dabei konkret auf den Bundesrat, der festlegt, welche Länder diese Voraussetzung erfüllen.
Eine Liste geprüfter Länder in diesem Zusammenhang wird in Anhang 1 der Datenschutzverordnung zum DSG veröffentlicht. Sie ist nicht mit der nach dem «alten» DSG bekannten Staatenliste des EDÖB zu verwechseln, (die ohnehin lediglich als Hilfsmittel diente).
Anhang 1 der DSV wurde als «Positiv-Liste» konzipiert, d. h. in ihr sind jene «Staaten» (Länder) zu finden, deren Gesetzgebung einen angemessenen Schutz für die übermittelten Personendaten bzw. für die Rechte und Freiheiten betroffener (Schweizer) Personen sicherstellt.
Die Kriterien, die der Bundesrat bei seiner Einschätzung zugrunde legt, werden in Artikel 8 (Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs) der DSV dargelegt. Wenn der Bundesrat demnach einen angemessenen Schutz für einen Staat bestätigt, dürfen «Schweizer» Personendaten frei in diesen Staat von Unternehmen (und Bundesorganen) übermittelt werden. In Artikel 8 DSV wird die Erfüllung folgender Kriterien dafür normiert:
«1 Die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe mit einem angemessenen Datenschutz werden in Anhang 1 aufgeführt.
2 Bei der Beurteilung, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staatoder ein internationales Organeinen angemessenen Datenschutz gewährleistet, werden insbesondere die folgenden Kriterien berücksichtigt:
- die internationalen Verpflichtungen des Staates oder internationalen Organs, insbesondere im Bereich des Datenschutzes;
- die Rechtsstaatlichkeit und die Achtung der Menschenrechte;
- die geltende Gesetzgebung insbesondere zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung;
- die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes;
- das wirksame Funktionieren einer oder mehrerer unabhängiger Behörden, die im betreffenden Staat für den Datenschutz zuständig sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen.
3 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wird bei jeder Beurteilung konsultiert. Die Einschätzungen von internationalen Organen oder ausländischen Behörden, die für den Datenschutz zuständig sind, können berücksichtigt werden.
4 Die Angemessenheit des Datenschutzes wird periodisch neu beurteilt.
5 Die Beurteilungen werden veröffentlicht. [...]»
Bestimmung eines angemessenen Schutzniveaus durch (sonstige) geeignete Garantien
Artikel 16 Absatz 2 DSG befasst sich mit Fällen des Auslands-Datentransfers, wenn gemäss Absatz 1 kein Angemessenheits-Entscheid des Bundesrates für einen Empfängerstaat oder einer Empfängerorganisation vorliegt.
Gemäss Artikel 2 können Personendaten über folgende Alternativen ins Ausland bekanntgegeben werden, sofern diese einen geeigneten Datenschutz gewährleisten.
Alternative: Völkerrechtlicher Vertrag
Ein geeigneter Schutz kann durch einen völkerrechtlichen Vertrag gewährleistet werden, worunter nicht nur ein internationales Datenschutzübereinkommen zu verstehen ist, [beispielsweise die Datenschutzkonvention des Europarates (ERK 108), dem die Schweiz angehört und dessen Anforderungen im innerstaatlichen Recht umgesetzt worden sind], sondern auch andere internationale Abkommen, die einen Datenaustausch zwischen den Vertragsparteien vorsehen (und «materiell» den Anforderungen der ERK 108 entsprechen). Es kann sich auch um einen Staatsvertrag handeln, den der Bundesrat (im Rahmen von Artikel 67 Buchstabe b DSG) abgeschlossen hat.
Alternative: Datenschutzklauseln in einem Vertrag
Eine Datenübermittlung ins Ausland ist gemäss Artikel 16 Absatz 2 Buchstabe b DSG auch möglich, wenn der Verantwortliche und der Vertragspartner, beispielsweise in ihrem Dienstleistungsvertrag, Datenschutzklauseln vereinbart haben. Der Begriff «Datenschutzklauseln» entspricht dem Definitionswortlaut von Artikel 46 Absatz 3 Buchstabe a (Datenübermittlung vorbehaltlich geeigneter Garantien) der EU-DSGVO, wo es heisst:
«(3) Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in [...]
- Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen. [...]»
Anmerkung: Im Gegensatz zu den «Standarddatenschutzklauseln», auf die an anderer Stelle dieses Beitrags näher eingegangen wird, werden die «Datenschutzklauseln» zum Zwecke der Bekanntgabe in einem spezifischen Vertrag zugeordnet.
Mit diesen vereinbarten «Datenschutzklauseln» sollen Lücken, die durch ein fehlendes «angemessenes (gesetzliches) Datenschutzniveau» im betreffenden Empfängerstaat vorliegen, gefüllt werden.
Artikel 9 Absatz 1 (Datenschutzklauseln und spezifische Garantien) DSV gibt dazu folgende obligatorische (Mindest-) Inhalte vor:
«1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:
- die Anwendung der [Datenschutz-] Grundsätze der
- Rechtmässigkeit, von
- Treu und Glauben, der
- Verhältnismässigkeit, der
- Transparenz, der
- Zweckbindung und der
- Richtigkeit;
- die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
- die Art und den Zweck der Bekanntgabe von Personendaten;
- gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie dieAnforderungen an die Bekanntgabe;
- die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
- die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
- die Massnahmen zur Gewährleistung der Datensicherheit;
- die Pflicht, Verletzungen der Datensicherheit zu melden;
- falls die Empfängerinnen und Empfänger Verantwortliche sind:
die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren; - die Rechte der betroffenen Person, insbesondere:
- das Auskunftsrecht und das Recht auf Datenherausgabe oder [Daten] -übertragung,
- das Recht, der Datenbekanntgabe zu widersprechen,
- das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
- das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen. [...]»
Vor einer beabsichtigten Übermittlung von Personendaten ins Ausland auf Basis dieser Alternative müssen dem EDÖB die «Datenschutzklauseln» mitgeteilt werden, was aber nicht heisst, dass der «Verantwortliche» gezwungen ist, die Antwort bzw. Reaktion des EDÖB abzuwarten, d. h. der «Verantwortliche» kann nach Mitteilung der Klauseln an den EDÖB seine Datenübermittlung ins Ausland durchführen, trägt aber auch das Risiko, dass der EDÖB im Anschluss daran seine Prüfung mit einem «negativen» Bescheid abschliesst.
Alternative: Spezifische Garantien
Eine Datenübermittlung ins Ausland gemäss Artikel 16 Absatz 2 Buchstabe c DSG über den Weg «spezifischer Garantien» betrifft öffentliche Organe des Bundes, die eine Zusammenarbeit mit einem ausländischen Staat oder einer internationalen Organisation anstreben, wo jedoch diese Staaten oder Organisationen nicht über ein angemessenes rechtliches Datenschutzniveau verfügen, das dann durch die involvierten öffentlichen Organe durch entsprechend vereinbarter Sicherheiten erreicht werden kann.
Alternative: Standarddatenschutzklauseln («SCC»)
Bei den «Standarddatenschutzklauseln» [auch als «Standardvertragsklauseln» oder «Standard Contractual Clauses» (SCC) bekannt] handelt es sich um «standardisierte» Vertragsklauseln, die in Verträge zur Regelung der Bearbeitung und Bekanntgabe von Personendaten – beispielsweise zwischen einem Schweizer Unternehmen (als «Verantwortlicher») und einem ausländischen beauftragten Dienstleister (als «Auftragsbearbeiter») – als fester Vertragsbestandteil eingebunden werden.
Die SCC unterscheiden sich von den (oben erwähnten) «Datenschutzklauseln in einem Vertrag» dadurch, dass sie sich nicht auf eine einzelne Vertragskonstellation (mit dort festgelegten spezifischen Übermittlungen) beziehen. Stattdessen sind sie als «generalisierte» Standards zum (unternehmerischen) Datenschutz gemeint, die für vielfältige Vertrags- und Datenbearbeitungssachverhalte, mit grundsätzlich ähnlichem Inhaltscharakter, eine vereinheitlichende und praktikable Anwendung ermöglichen.
Das DSG schreibt nicht vor, «wer» die SCC zu formulieren hat, d. h. sie können von Unternehmen (Privaten), interessierten Kreisen oder Bundesorganen erarbeitet werden. Allerdings müssen die so entstandenen SCC vom EDÖB genehmigt werden. Demnach dürfen in diesem Fall keine Personendaten ins Ausland bekanntgegeben werden, bis der EDÖB seinen Entscheid zu den Klauseln gefällt hat, (es sei denn, die Bekanntgabe kann sich auf einen anderen Rechtsgrund stützen).
Unternehmen («Verantwortliche») können jedoch alternativ auf SCC zurückgreifen, die vom EDÖB bereits vorgängig anerkannt wurden. «Anerkannte» SCC sind solche, deren Schutzniveau den Datenschutz-Anforderungen in der Schweiz entspricht und vom EDÖB entsprechend als angemessen bzw. gleichwertig bestätigt wurden. Im August 2021 hat der EDÖB hierzu die revidierten «Standardvertragsklauseln» der EU grundsätzlich anerkannt, was für viele (beabsichtigte) Auslands-Datenübermittlungen betroffener Schweizer Unternehmen von wesentlicher Bedeutung sein dürfte, weil damit – zumindest bezogen auf eine ansonsten aufwändige vertragliche «Formulierung – durch die «Vereinheitlichung» eine gewisse Arbeitserleichterung ermöglicht wird, die jedoch die «datenschutzkonforme» Anwendung der EU-SCC (leider) nicht weniger aufwändig macht. (Zur Handhabung und zum Einsatz der SCC in diesem Kontext veröffentlichen wir in Kürze einen separaten Blog-Beitrag).
Die aktuell gültigen EU-«Standardvertragsklauseln» können über den nachstehenden Link eingesehen und (mehrsprachig) abgerufen werden: Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer - Stand-2021
Auch wenn der EDÖB die EU-SCC prinzipiell «anerkannt» hat, ist deren Verwendung unter dem Schweizer Datenschutzrecht nur vorbehaltlich notwendiger Anpassungen und Ergänzungen möglich; (man spricht hier mitunter von einem sogenannten «Swiss Finish», oder auch «Swiss Rider»). Zur Veranschaulichung folgen beispielhaft die grundsätzlich betroffenen SCC-Klauseln mit Anpassungs- und Klarstellungsbedarf:
- EU-SCC Klausel 13: Klarstellung der zuständigen Aufsichtsbehörde; Beispiel: wenn die Datenübermittlung ausschliesslich dem DSG unterstellt ist, ist der EDÖB die zuständige Aufsichtsbehörde.
- EU-SCC Klausel 17: Klarstellung des anwendbaren Rechts für vertragliche Ansprüche; Beispiel: wenn die Datenübermittlung ausschliesslich dem DSG unterstellt ist, ist Schweizer Recht zu wählen.
- EU-SS Klausel 18b: Klarstellung zur Wahl des Gerichtsstands für Klagen zwischen den Parteien. Beispiel: wenn die Datenübermittlung ausschliesslich dem DSG unterstellt ist, kann der Gerichtsstand frei gewählt werden.
Im Übrigen steht es dem EDÖB frei, selbst Standarddatenschutzklauseln zu erstellen und zu veröffentlichen, die sodann von (Schweizer) «Verantwortlichen» genutzt werden können. Ob und wann der EDÖB «eigene» SCC zur Verfügung stellt, ist derzeit noch ungewiss.
Alternative: Verbindliche unternehmensinterne Datenschutzvorschriften
Wie die Bezeichnung «unternehmensintern» bereits andeutet, handelt es sich hier um eine sehr spezielle «Alternative», die sich auf «verbindliche unternehmensinterne Datenschutzvorschriften» stützt, von der (international vernetzte) Unternehmensgruppen Gebrauch machen können bzw. werden. Voraussetzung für die Anwendbarkeit ist, dass die unternehmensinternen Datenschutzvorschriften [auch als «Binding Corporate Rules» (BCR) bekannt] vorab durch den EDÖB genehmigt wurden.
Gewährleistung schweizerischer Datenschutz- und Grundrechtsgarantien
Bei (geplanten) Übermittlungen von Personendaten ins Ausland geht es dem Schweizer Gesetzgeber in diesem Kontext insbesondere um die Sicherheit der (Schweizer) Personendaten hinsichtlich potenzieller behördlicher Zugriffe darauf in einem Drittland, beispielsweise zwecks nationaler Sicherheit oder Strafverfolgung. Der «Verantwortliche» («Datenexporteur») hat demnach zu prüfen, ob die Rechte betroffener Personen in dem betreffenden Drittland mit dem DSG sowie den schweizerischen Verfassungsgrundsätzen vereinbar sind. Der EDÖB weist darauf hin, dass der «Datenexporteur» entsprechende Abklärungen selbst vorzunehmen hat und sich nicht auf Aussagen des «Datenimporteurs» verlassen darf. Unabhängig davon, wie der «Datenexporteur» seine Abklärungen vornimmt (bspw. über Fachliteratur oder unabhängige Rechtsgutachten), müssen in dem betreffenden Drittland die sogenannten «Vier Garantien» (d. h. bestimmte schweizerische Grundrechtsgarantien) «analog gewährgleistet» sein, d. h. es muss geprüft werden, ob und welche Mängel in dem betreffenden Drittland vorliegen.
Folgende «Vier Garantien» sind zu gewährleisten:
- Legalitätsprinzip: Die Rechtsgrundlage (im betreffenden Drittland) bezüglich der Zwecke sowie der eingesetzten Verfahren und materiellrechtlicher Voraussetzungen des behördlichen Datenzugriffs und den Befugnissen der Behörden ist hinreichend bestimmt und transparent.
Artikel 5 (Grundsätze rechtsstaatlichen Handelns) BV und Artikel 164 (Gesetzgebung) BV.
- Verhältnismässigkeit: Für (drittlandbezogene) Behörden müssen deren Befugnisse und Massnahmen «geeignet» und «erforderlich» sein, um die gesetzlichen Zwecke behördlicher Zugriffe zu erfüllen. Ausserdem müssen diese behördlichen Befugnisse und Massnahmen für betroffene (Schweizer) Personen «zumutbar» sein.
Artikel 5 (Grundsätze rechtsstaatlichen Handelns) BV und Artikel 6 Absatz 2 (Grundsätze) DSG.
- Wirksame Rechtsmittel: Für betroffene (Schweizer) Personen muss ein wirksamer, gesetzlich verankerter Rechtsbehelf gewährleistet sein, um ihre Rechte zum Schutz ihrer Privatsphäre und der informationellen Selbstbestimmung (bspw. Recht auf Auskunft, Berichtigung, Löschung etc.) durchsetzen zu können.
Artikel 13 Absatz 2 (Schutz der Privatsphäre) BV und Artikel 32 (Rechtsansprüche) DSG und Artikel 8 und 13 der Europäischen Menschenrechtskonvention EMRK
- Rechtsweggarantie: Für Eingriffe in die Privatsphäre sowie zur Vermeidung von Einschränkungen der informationellen Selbstbestimmung muss es für betroffene (Schweizer) Personen wirksame, unabhängige und unparteiische Kontrollsystem geben (bspw. ein unabhängiges Gericht, eine unabhängige Verwaltungsbehörde oder ein parlamentarisches Gremium). Dabei ist es wichtig, dass neben einer vorherigen gerichtlichen Genehmigung von Überwachungsmassnahmen («Schutz vor Willkür») auch die Überprüfbarkeit der Funktionsweise des zugrundeliegenden Überwachungssystems gewährleistet sein muss.
Artikel 29 (Allgemeine Verfahrensgarantien) ff. BV und Artikel 32 (Rechtsansprüche (DSG) und Artikel 6 Absatz 1 EMRK
Anwendungsfall USA
Sollte es Anhaltspunkte geben, dass Personendaten in die USA übermittelt und dort direkt oder indirekt bearbeitet werden (können), was regelmässig bei der Nutzung von Cloud-Diensten vorkommt, stellt der EDÖB, als Teil seiner «Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug» (siehe nächsten Abschnitt), einen speziellen Fragebogen zu Verfügung, der für weitere Abklärungen mit entsprechenden «Datenimporteuren» verwendet werden kann. Der Fragebogen entstammt einer Vorlage des Datenschutz-Aktivisten Max Schrems (von «nyob»), und zwar als unmittelbare Konsequenz des Scheiterns vom «EU-US Privacy Shield», das durch das bekannte «Schrems-II-Urteil» für ungültig erklärt wurde und seitdem die USA auf das Niveau eines «unsicheren Drittlands» bezüglich Datenschutz-Rechtsgarantien abstuft.
Anleitung (des EDÖB) für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug
Der EDÖB stellte bereits vor der Totalrevision des Schweizer Datenschutzgesetzes auf seiner Website eine «Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug» zur Verfügung. Die Anleitung ist inzwischen aktualisiert und dem neuen DSG angepasst worden. Die Anleitung kann über folgenden Link abgerufen werden: Anleitung Auslandsbezug EDÖB.
[Quelle Flowchart-Auszug: «2. Ablaufschema»; Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 16 Abs. 2 lit. b und d DSG); (veröffentlicht Juni 2021; angepasst an das revidierte DSG Mai 2023)]
Notabene
Der Fokus dieses Beitrags richtet sich spezifisch und ausschliesslich auf die Übermittlung von Personendaten ins Ausland. Das DSG regelt einen «Auslandsbezug» auch für andere Zusammenhänge, die jedoch hiervon abzugrenzen sind, da sie einen anderen Bezug haben. Dabei geht es um folgende Themen, zu denen wir in anderen Blog-Beiträgen berichten:
Bearbeitungsverzeichnis (siehe Blog-Beitrag): Hier heisst es in Artikel 12 Absatz 2 Buchstabe g (Verzeichnis der Bearbeitungstätigkeiten) DSG:
«[...] 2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch: [...] g. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2 [...]»
Schweizer Vertretung: Das eventuelle Erfordernis einer Vertretung in der Schweiz wird im 2. Abschnitt (Datenbearbeitung durch private Verantwortliche mit Sitz oder Wohnsitz im Ausland) des DSG geregelt, und zwar in den Artikeln 14 (Vertretung) und 15 (Pflichten der Vertretung) DSG. In Artikel 14 Absatz 1 DSG heisst es dazu:
«1 Private Verantwortliche mit Sitz oder Wohnsitz im Ausland bezeichnen eine Vertretung in der Schweiz, wenn sie Personendaten von Personen in der Schweiz bearbeiten und die Datenbearbeitung die folgenden Voraussetzungen erfüllt:
- Die Bearbeitung steht im Zusammenhang mit dem Angebot von Waren und Dienstleistungen oder der Beobachtung des Verhaltens von Personen in der Schweiz.
- Es handelt sich um eine umfangreiche Bearbeitung.
- Es handelt sich um eine regelmässige Bearbeitung.
- Die Bearbeitung bringt ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich. [...]»
Setzen Sie sich für weitere Informationen zu diesem komplexen und vielschichtigen Thema jederzeit mit uns in Verbindung. Wir beraten Sie auch gerne unverbindlich in einem ersten Gespräch, z. B. mittels MS Teams, über pragmatische und unkomplizierte Lösungsmöglichkeiten, die Ihren Datenschutz wesentlich erleichtern und definitiv Aufwand und Kosten sparen.
Wenn Sie regelmässig mit Datentransfers ins Ausland zu tun haben, oder eine solche Übertragung beabsichtigen und sich unsicher über die richtige Handhabung bzw. Vorgehensweise sind, lassen Sie uns bei einem (unverbindlichen) Gespräch erörtern, wo Sie stehen oder ggf. stehen sollten und wie wir Ihnen helfen können. Sie profitieren von unserer Erfahrung und entsprechendem Know-how, das wir über viele Mandanten-Beratungen aufgebaut haben.
Bitte kontaktieren Sie uns über: