News

Die Europäische Kommission hat in ihrem Bericht vom 15. Januar 2024 bestätigt, dass die Schweiz weiterhin ein angemessenes Datenschutzniveau hat. Dies bedeutet, dass das total revidierte Datenschutzgesetz der Schweiz (DSG), welches am 1. September 2023 in Kraft getreten ist, ein äquivalentes Datenschutzniveau wie die europäische Datenschutz-Grundverordung (DSGVO) hat. Obschon die EU der Schweiz seit dem Jahr 2000 ein angemessenes Datenschutzniveau attestiert, wurde mit dem Inkrafttreten der strengeren Datenschutz-Verordnung DSGVO eine Neubeurteilung des schweizerischen Datenschutzrechts notwendig. Mit dieser Bestätigung können Personendaten weiterhin ohne zusätzliche Garantien aus einem EU- oder EWR-Mitgliedstaat in die Schweiz übermittelt werden. Für den Wirtschaftsstandort Schweiz und deren Wettbewerbsfähigkeit ist diese Bestätigung der EU von grosser Bedeutung. Weitere Informationen finden Sie beim zuständigen Bundesamt für Justiz wie auch auf der Website der schweizerischen Datenschutzbehörde EDÖB.

Am 10. Juli hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für den sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA erlassen. Das neue EU-U.S. Data Privacy Framework ist der Nachfolger des "Privacy Shield", welches im bekannten EuGH-Urteil Schrems II vom Juli 2020 als ungültig erklärt worden ist. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten sicher aus der EU an US-Unternehmen übermittelt werden. Voraussetzung ist allerdings, dass die datenempfangenden US-Unternehmen an diesem neuen Framework teilnehmen bzw. entsprechend zertifiziert sind. Zusätzliche Datenschutzgarantien wie z.B. SCCs (Standardvertragsklauseln) benötigt es bei Beachtung der im Framework enthaltenen Verpflichtungen nicht mehr.

Das neue Framework führt neue verbindliche Garantien ein. So ist vorgesehen, dass der Zugang von US-Nachrichtendiensten zu EU-Daten auf ein notwendiges und verhältnismässiges Mass beschränkt ist und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) geschaffen wird, zu dem Einzelpersonen in der EU Zugang haben.

Inwiefern das neue Framework den heutigen Anforderungen des EU-Datenschutzrechts gerecht wird, wird sich in der Praxis zeigen. Für EU-Unternehmen wie auch für CH-Unternehmen bleibt Vorsicht beim Datenaustausch mit den USA geboten, weil Schrems das neue Framework ebenfalls vor den EuGH bringen wird. Denn es sei weitgehend eine Kopie des gescheiterten "Privacy Shield" und das grundsätzliche Problem der Zugriffsrechte der US-Nachrichtendienste auf EU-Personendaten nach wie vor nicht gelöst.

Weitere Informationen finden Sie hier:

• Pressemitteilung der Europäischen Kommission
• EU-U.S. Data Privacy Framework (aktuell nur in Englisch)
• Umfassende Informationen zu Datenübermittlungen zwischen der EU und den USA (aktuell nur in Englisch)
• EDÖB Pressemitteilung: Kenntnisnahme des neuen Frameworks (heisst: für CH-Unternehmen ändert sich aktuell nichts)

Der Bundesrat hat an seiner Sitzung vom 31. August 2022 das neue Datenschutzgesetz (DSG) sowie dessen Verordnungen per 1. September 2023 in Kraft gesetzt. Inzwischen sind alle Rechtstexte, inkl. den technischen Verordnungen, veröffentlicht worden. Interessant für die Mehrheit der Unternehmen dürften vor allem das neue DSG und dessen Verordnung «DSV» (inkl. Erläuterungen zu den einzelnen Artikeln) sowie die FAQs zum Datenschutzrecht sein:

• Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)
• Verordnung über den Datenschutz (Datenschutzverordnung, DSV)
• Erläuternder Bericht zur DSV
• FAQ Datenschutzrecht

Für Unternehmen, welche eine Datenschutz-Zertifizierung anstreben oder bereits im Besitz einer Datenschutz-Zertifizierung sind, gilt ab dem 1. September 2023 die ebenfalls vollständig revidierte Verordnung VDSZ:

• Verordnung über Datenschutzzertifizierungen (VDSZ)
• Erläuternder Bericht zur VDSZ