Durch Anklicken „Alle Cookies akzeptieren“, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Seitennavigation zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Sehen Sie sich unsere an Datenschutzrichtlinie für weitere Informationen.
PräferenzenAblehnenAkzeptieren
Legal News International
Ueli Sommer und Cédric Bamert
/
August 29, 2024

USA neu mit angemessenem Datenschutzniveau

Die USA kommt auf die Liste der Länder mit einem angemessenen Datenschutzniveau. Dies hat der Bundesrat in seiner Sitzung vom 14. August 2024 entschieden.

Seit dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzrecht. Es sieht vor, dass Personendaten ohne zusätzliche Garantien nur ins Ausland übermittelt werden dürfen, wenn der Empfängerstaat ein angemessenes Datenschutzniveau bieten kann. Falls er diese Voraussetzung erfüllt, wird er vom Bundesrat auf eine verbindliche Liste gesetzt, welche im Anhang 1 der Datenschutzverordnung publiziert wird. Der Bundesrat kommt in seiner Sitzung nun zum Schluss, dass die USA ebenfalls auf diese Liste gesetzt wird, da der neue Datenschutzrahmen zwischen der Schweiz und der USA (Swiss-U.S. Data Privacy Framework) einen sicheren Austausch von Personendaten ermöglicht, wenn zertifizierte US Unternehmen im Spiel sind. Dafür sorgt insbesondere auch ein neues US Datenschutzgericht. So können neuerdings Personendaten ohne zusätzliche Garantien an zertifizierte Unternehmen in die USA übermittelt werden. Ab dem 15. September 2024 gelten die Änderungen in der Datenschutzverordnung.

Daten ist nur an zertifizierte Unternehmen gestattet. Diese dürfen die Daten nur für diejenigen Zwecke bearbeiten, für die sie erhoben wurden. Ein amerikanisches Unternehmen muss sich für die notwendige Zertifizierung beim US-Handelsministerium anmelden und sich dabei verpflichten, die im Privacy Shield vorgesehenen Datenschutzprinzipien einzuhalten, wie beispielsweise Grundsätze zum Schutz der Privatsphäre. Die Zertifizierung wird dabei einmal im Jahr erneuert. Bevor ein schweizerisches Unternehmen Personendaten in die USA übermittelt, sollen sie überprüfen, ob das betreffende Unternehmen zertifiziert ist. Dafür können schweizerische Unternehmen die Privacy Shield List konsultieren, auf welcher alle zertifizierten Unternehmen aufgelistet sind. Ist ein US Unternehmen nicht zertifiziert, so bedarf die Personendatenübermittlung anderer hinreichender Garantien (beispielsweise EU Standardvertragsklauseln oder binding corporate rules). Mit der Zertifizierung für US-Unternehmen und der Beschränkung in der Verarbeitung wird sichergestellt, dass die vorgesehenen Datenschutzmassnahmen und Datenschutzgarantien eingehalten werden.

Es gibt verschiedene Rechtsgrundlagen in den USA, aufgrund dessen Behörden auf persönliche Daten zugreifen können, sei dies zum Zwecke der Strafverfolgung oder der nationalen Sicherheit. Beispielsweise können Bundestaatsanwälte und Strafermittlungsbeamte zur Strafverfolgungszwecken Personendaten einsehen, welche von den zertifizierten Organisationen bearbeitet werden. Dies geschieht unabhängig von der Staatsangehörigkeit oder dem Wohnort der betroffenen Person. Um Willkür seitens der US-Behörden und Schutzlosigkeit der betreffenden Person zu verhindern, stehen verschiedene Garantien, wie zum Beispiel ein Beschwerdemechanismus, zur Verfügung. Auch die unabhängigen, unparteiischen Gerichte spielen eine wichtige Rolle, wenn es darum geht, die Rechtmässigkeit eines staatlichen Zugriffs auf persönliche Daten überprüfen zu lassen und bei Verletzung Abhilfe zu schaffen, indem persönliche Daten berichtigt oder gelöscht werden.

Damit es gar nicht erst zu einer Beschwerde an ein Gericht kommt, garantiert der neue Datenschutzrahmen, dass wesentliche datenschutzrechtliche Grundsätze des schweizerischen Rechts eingehalten werden, wie beispielsweise der Art. 6 DSG. So muss der Grundsatz eingehalten werden, Personendaten rechtmässig und verhältnismässig zu bearbeiten. Die Beschaffung von Daten ist nur für einen bestimmten Zweck möglich und die Daten dürfen dann nur so verwendet werden, dass es mit diesem Zweck vereinbar ist. Die betroffenen Personen müssen über die wesentlichen Merkmale der Bearbeitung der Personendaten, wie der Zweck der Bearbeitung oder welche Rechtsmittel zur Verfügung stehen, informiert werden (Transparenz). Gegenüber Verantwortlichen und Auftragsbearbeitern, welche eine wichtige Rolle spielen bei der Übermittlung der Personendaten aus der Schweiz in die USA, haben die betroffenen Personen ein Recht auf Auskunft, das Recht sich der Bearbeitung zu widersetzen oder das Recht auf Berichtigung und Löschung der Daten. Dieses Auskunftsrecht kann nur ausnahmsweise eingeschränkt werden und der Grund für die Einschränkung muss vergleichbar mit denjenigen Gründen sein, welche das schweizerische Recht vorsieht.

Im Bereich der Datenschutzüberprüfung ist der Data Protection Review Court, nachfolgend DPRC genannt, von besonderer Wichtigkeit. Wird die Privatsphäre oder die bürgerlichen Freiheiten einer betroffenen Person beeinträchtigt, so kann sie wegen mutmasslicher Verletzung des amerikanischen Rechts eine Beschwerde einreichen. Diese Beschwerdemöglichkeit steht seit dem 7. Juni 2024 auch Personen aus der Schweiz zu. Bei der Beschwerde muss nicht nachgewiesen werden, dass tatsächlich Personendaten von Nachrichtendiensten beschafft wurden. Die Beschwerde gelangt vom EDÖB als erste Stelle zum CLP Beauftragten (Privacy and Civil Liberties Officer). Dessen Entscheid kann dann mit Beschwerde an das DPRC weitergezogen werden. Das DPRC ist ein unabhängiges Rechtsprechungsorgan, welches aus mindestens 6 Richter:innen besteht. Eine Beschwerde an das Gericht wird von mindestens 3 Gerichtsmitgliedern geprüft. Diese werden von einem Spezialanwalt unterstützt, welcher sicherstellt, dass die Interessen der beschwerdeführenden Person vertreten sind. Ergibt sich aus der schriftlichen Entscheidung des Gerichts, dass geltende Vorschriften verletzt wurden, so bestimmt es angemessene Abhilfemassnahmen wie beispielsweise die Löschung unrechtmässig erhobener Daten oder die Beschränkung des Zugriffs auf erhobene Daten. Die Entscheidung des Gerichts ist verbindlich und endgültig.

In Bezug auf die Rahmenvereinbarung Swiss-U.S. Data Privacy Framework ist von besonderer Wichtigkeit, dass ein rechtlicher Rahmen besteht, wenn Personendaten an zertifizierte Unternehmen übermittelt werden, was auch für den Zugriff auf diese Daten durch Strafverfolgungsbehörden oder nationale Sicherheitsbehörden der USA gilt. Der rechtliche Rahmen umschreibt die Bedingungen, unter welcher Personendaten, welche von der Schweiz an US-Unternehmen übermittelt werden, weitergegeben werden können und stellt sicher, dass die Weiterverwendung der Daten auf das beschränkt ist, was im öffentlichen Interesse ist, erforderlich und verhältnismässig ist.

Deshalb hat der Bundesrat, auf Basis der Untersuchungen vom Bundesamt für Justiz, entschieden, dass die USA ein angemessenes Schutzniveau für Personendaten gewährt.

Über die Autoren:

Ueli Sommer ist Managing Partner von Littler Switzerland. Sie können ihn unter +41 44 219 60 61 oder ueli.sommer@littler.ch erreichen.

Cédric Bamert ist Junior Associate bei Littler Switzerland.

Sie können ihn unter +41 44 219 60 62 oder cedric.bamert@littler.ch erreichen.

Share on Linkedin
Print