News

Am 10. Juli hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen. Das neue EU-U.S. Data Privacy Framework ist der Nachfolger des "Privacy Shield", welches im bekannten EuGH-Urteil Schrems II vom Juli 2020 als ungültig erklärt worden ist. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden. Voraussetzung ist allerdings, dass die datenempfangenden US-Unternehmen an diesem neuen Framework teilnehmen bzw. entsprechend zertifiziert sind. Zusätzliche Datenschutzgarantien wie z.B. SCCs (Standardvertragsklauseln) benötigt es bei Beachtung der im Framework enthaltenen Verpflichtungen nicht mehr.

Das neue Framework führt neue verbindliche Garantien ein. So ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismässiges Mass beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben.

Inwiefern das neue Framework den heutigen Anforderungen des EU-Datenschutzrechts gerecht wird, wird sich in der Praxis zeigen. Für EU-Unternehmen wie auch für CH-Unternehmen bleibt Vorsicht beim Datenaustausch mit den USA geboten, weil Schrems das neue Framework ebenfalls vor den EuGH bringen wird. Denn es sei weitgehend eine Kopie des gescheiterten "Privacy Shield" und das grundsätzliche Problem der Zugriffsrechte der US-Nachrichtendienste auf EU-Personendaten nach wie vor nicht gelöst.

Weitere Informationen finden Sie hier:

• Pressemitteilung der Europäischen Kommission
• EU-U.S. Data Privacy Framework (aktuell nur in Englisch)
• Umfassende Informationen zu Datenübermittlungen zwischen der EU und den USA (aktuell nur in Englisch)
• EDÖB Pressemitteilung: Kenntnisnahme des neuen Frameworks (heisst: für CH-Unternehmen ändert sich aktuell nichts)

Der Bundesrat hat an seiner Sitzung vom 31. August 2022 das neue Datenschutzgesetz (DSG) sowie dessen Verordnungen per 1. September 2023 in Kraft gesetzt. Inzwischen sind alle Rechtstexte, inkl. den technischen Verordnungen, veröffentlicht worden. Interessant für die Mehrheit der Unternehmen dürften vor allem das neue DSG und dessen Verordnung «DSV» (inkl. Erläuterungen zu den einzelnen Artikeln) sowie die FAQs zum Datenschutzrecht sein:

• Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)
• Verordnung über den Datenschutz (Datenschutzverordnung, DSV)
• Erläuternder Bericht zur DSV
• FAQ Datenschutzrecht

Für Unternehmen, welche eine Datenschutz-Zertifizierung anstreben oder bereits im Besitz einer Datenschutz-Zertifizierung sind, gilt ab dem 1. September 2023 die ebenfalls vollständig revidierte Verordnung VDSZ:

• Verordnung über Datenschutzzertifizierungen (VDSZ)
• Erläuternder Bericht zur VDSZ

Der heute publizierte Bericht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) für die Berichtsperiode 01.04.2021 bis 31.03.2022 ist weiterhin von COVID-Themen geprägt: COVID-App und COVID-Zertifikat, welche dank dezentraler und datensparsamer Ausgestaltung die Übermittlung von Bürgerdaten an die Bundesverwaltung vermeiden konnten. "Gleichzeitig leckt die digitale Schweiz die Wunden, welche der technisch und organisatorisch missglückte Betrieb gewisser Applikationen zum Contact Tracing oder von Registern über Impfungen, Organspenden oder Brustimplantate aufriss..." So der EDÖB in seinem Vorwort zum Bericht. Weitere Themen und Schwerpunkte des Berichts sind u.a.: Arbeiten im Hinblick auf die Inkraftsetzung des revidierten DSG (Schwerpunkt I, ab Seite 18) und Datenübermittlung mit Auslandbezug (Schwerpunkt II, ab Seite 64). Hier der gesamte Bericht.