Swiss-U.S. Data Privacy Framework: Bundesrat setzt die USA auf die Liste der Länder mit angemessenem Datenschutzniveau

Der Bundesrat hat heute die USA auf die Liste der Länder gesetzt, die ein angemessenes Datenschutzniveau haben. Dies bedeutet, dass Personendaten zwischen der Schweiz und US-Unternehmen, welche gemäss dem neuen Swiss-U.S. Data Privacy Framework zertifiziert sind, sicher ausgetauscht werden können. Diese Neuerung der Datenschutzverordnung tritt per 15. September 2024 in Kraft. Mehr dazu finden Sie in der heutigen Medienmitteilung des Bundesrates.


Entwicklungen im Schweizer Cybersicherheitsrecht

Seit meiner Präsentation im Rahmen der 8. Tagung zum Datenschutz – Jüngste Entwicklungen am EuropaInstitut an der Universität Zürich zum Informationssicherheitsgesetz (ISG) vom 27. Januar 2015 hat es in der Schweiz doch noch einige wichtige rechtliche Entwicklungen im Bereich der Cybersicherheit gegeben. Letztere war die lang ersehnte Verabschiedung des ISG. Dieses Gesetz gilt namentlich für Bundesbehörden wie das Parlament der Schweiz oder die Schweizerische Nationalbank. Aus Sicht Wirtschaft sind insbesondere die Betreiber von kritischen Infrastrukturen wie z.B. Energie, Finanzen oder Gesundheit angesprochen.

Der Bundesrat hat am 8. November 2023 entschieden, das neue ISG zusammen mit dessen vier Ausführungsverordnungen per 1. Januar 2024 in Kraft zu setzen. Zum Ausführungsrecht des ISG gehören die folgenden Verordnungen:

Die neue Informationssicherheitsverordnung (ISV) ersetzt und erweitert die bisherigen Verordnungen zu Cyberrisiken und Informationsschutz. Sie regelt das Management der Informationssicherheit, den Schutz klassifizierter Informationen, die Informatiksicherheit sowie Massnahmen zur personellen und physischen Sicherheit. Bundesämter müssen ein Informationssicherheits-Managementsystem (ISMS) einführen, welches alle notwendigen Vorschriften, Verfahren und Massnahmen umfasst. Kantone sind betroffen, wenn sie mit klassifizierten Informationen des Bundes arbeiten oder auf Bundesinformatikmittel zugreifen und müssen in diesen Fällen die ISV-Vorschriften einhalten oder eine gleichwertige Informationssicherheit gewährleisten.

Am 22. Mai 2024 hat der Bundesrat die Vernehmlassung zu einer weiteren Verordnung eröffnet: die künftige Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) soll in Ergänzung zur ISV insbesondere die Meldepflicht von Cyberangriffen auf kritische Infrastrukturen regeln und die Rolle des "neuen" Bundesamtes für Cybersicherheit BACS (bisher «NCSC» und davor bekannt als «MELANI») konkretisieren. Obwohl die CSV einen starken Fokus auf die Meldepflicht legt, gilt meines Erachtens zu beachten, dass präventive Massnahmen, wie sie z.B. in der Nationalen Cyber Strategie des Bundes verankert sind, und ein sicherer Informationsaustausch weiterhin von besonderer Bedeutung sind. Schliesslich definiert die CSV den Umfang der Meldepflicht, die meldepflichtigen Cyber-Angriffe und die Verfahren zur Erfüllung der Meldepflicht. Ausnahmen von der Meldepflicht gelten für Behörden und Unternehmen, bei denen ein Cyber-Angriff keine unmittelbaren Auswirkungen auf die Wirtschaft oder die Bevölkerung hat. Die Vernehmlassung zur CSV dauert bis zum 13. September 2024. Weitere Informationen finden Sie in der Medienmitteilung des Bundesrates.


EU bestätigt der Schweiz ein angemessenes Datenschutzniveau

Die Europäische Kommission hat in ihrem Bericht vom 15. Januar 2024 bestätigt, dass die Schweiz weiterhin ein angemessenes Datenschutzniveau hat. Dies bedeutet, dass das total revidierte Datenschutzgesetz der Schweiz (DSG), welches am 1. September 2023 in Kraft getreten ist, ein äquivalentes Datenschutzniveau wie die europäische Datenschutz-Grundverordung (DSGVO) hat. Obschon die EU der Schweiz seit dem Jahr 2000 ein angemessenes Datenschutzniveau attestiert, wurde mit dem Inkrafttreten der strengeren Datenschutz-Verordnung DSGVO eine Neubeurteilung des schweizerischen Datenschutzrechts notwendig. Mit dieser Bestätigung können Personendaten weiterhin ohne zusätzliche Garantien aus einem EU- oder EWR-Mitgliedstaat in die Schweiz übermittelt werden. Für den Wirtschaftsstandort Schweiz und deren Wettbewerbsfähigkeit ist diese Bestätigung der EU von grosser Bedeutung. Weitere Informationen finden Sie beim zuständigen Bundesamt für Justiz wie auch auf der Website der schweizerischen Datenschutzbehörde EDÖB.