Das neue Schweizer Bundesgesetz über den Datenschutz (nFADP): Ein Leitfaden für Schweizer Unternehmen
Datenschutz
|

21. Juli 2023

Das neue Schweizer Bundesgesetz über den Datenschutz (nFADP): Ein Leitfaden für Schweizer Unternehmen

Ein Leitfaden für Schweizer Unternehmen zum Verständnis des neuen Bundesgesetzes über den Datenschutz und des EU-US-Datenschutzrahmens und deren Auswirkungen auf Unternehmen.

Das neue Bundesgesetz über den Datenschutz (nFADP) hat Diskussionen über den Datenschutz in der Schweiz und seine Auswirkungen auf Unternehmen, besonders im Zeitalter der Digitalisierung, ausgelöst. Damit du dich in den Feinheiten dieses Gesetzes zurechtfindest, habe ich einen umfassenden Leitfaden zusammengestellt.

Einführung in das nFADP

Das nFADP ist ein Schweizer Gesetz, das den Schutz personenbezogener Daten verbessern soll. Es kommt in einer Zeit, in der sich digitale Transformationen schnell vollziehen und der Datenschutz zu einem dringenden Anliegen geworden ist. Das Gesetz zielt darauf ab, die Schweizer Datenschutzstandards an die Datenschutzgrundverordnung (DSGVO) der Europäischen Union anzugleichen.

Der EU-US-Datenschutzrahmen und seine Auswirkungen

Am 10. Juli 2023 hat die Europäische Kommission den EU-US-Datenschutzrahmen (DPF) geschaffen, eine wichtige Entwicklung für internationale Datenübermittlungen. 

Der DPF dient als Mechanismus, um einen angemessenen Datenschutz zu gewährleisten, wenn private oder öffentliche Stellen in der EU und im Europäischen Wirtschaftsraum (EWR) personenbezogene Daten an US-Unternehmen weitergeben, die Teil des Rahmens sind.

Die Einführung des EU-US-DPF war nicht einfach. Es war der dritte Versuch der EU- und US-Behörden, die transatlantische Weitergabe personenbezogener Daten zu erleichtern. Der Gerichtshof der Europäischen Union (EuGH) hatte die vorherigen Versuche – das Safe-Harbor-Abkommen und den Privacy Shield – für ungültig erklärt, daher die Entstehung des EU-US-DPF.

Der EU-US-DPF stützt sich auch auf die US-Executive Order 14086 (EO 14086), die Präsident Biden am 7. Oktober 2022 unterzeichnet hat. Diese Verordnung legt Schutzmassnahmen für die US-Nachrichtendienste fest und bringt sie in Einklang mit den Grundsätzen des europäischen Rechts, einschliesslich Verhältnismässigkeit, Aufsicht und wirksamer Rechtsbehelfe für betroffene Datenpersonen.

Unternehmen, die unter den EU-US-DPF fallen, müssen sich an bestimmte Datenschutzgrundsätze halten, die vom US-Handelsministerium festgelegt wurden. Diese Grundsätze zielen darauf ab, ein angemessenes Datenschutzniveau zu erreichen, das der Verarbeitung personenbezogener Daten entspricht, die von Datenexporteuren in der EU und im EWR erhalten werden.

Die Auswirkungen des EU-US-DPF auf Datenexporte in die USA

Mit der Zustimmung der EU-Kommission zum DPF können Datenexporteure personenbezogene Daten aus der EU und dem EWR an zertifizierte US-Unternehmen im Rahmen des DPF ohne zusätzliche Schutzmassnahmen übermitteln. Unternehmen sollten jedoch prüfen, ob sie ihre Datenweitergaben vollständig auf den EU-US-DPF verlagern, angesichts seiner ungewissen Zukunft.

Schweizer Unternehmen und der EU-US-DPF

Schweizer Unternehmen können vom EU-US-DPF nur in begrenztem Umfang profitieren, da er keine Datenexporteure in der Schweiz umfasst, die personenbezogene Daten an zertifizierte Unternehmen in den USA weitergeben. Damit Schweizer Datenexporteure personenbezogene Daten rechtmässig an Empfänger in den USA weitergeben können, müssen sie sich auf gesetzliche Ausnahmen stützen oder alternative Schutzmassnahmen implementieren, um ein angemessenes Datenschutzniveau zu gewährleisten, wie z. B. die EU-Standardvertragsklauseln (SCC) oder auch als Datenverarbeitungsvereinbarungen (DPA) bekannt.

Der vorgeschlagene Schweizer-US-Datenschutzrahmen

Die Schweiz befindet sich derzeit in Gesprächen über einen "Schweizer-US-Datenschutzrahmen". Dieser Rahmen wird die Einschränkungen des EU-US-DPF für Schweizer Unternehmen beheben. Bis zu seiner Annahme müssen Schweizer Unternehmen geduldig bleiben und die USA weiterhin als Land ohne angemessene Datenschutzgesetze betrachten.

Überlegungen für Schweizer Unternehmen

Schweizer Unternehmen sollten die USA weiterhin als Land ohne angemessene Datenschutzgesetze betrachten, bis der Schweizer-US-Datenschutzrahmen angenommen wird.

Wenn ein US-Unternehmen jedoch nach dem EU-US-DPF zertifiziert ist, kann dies als zusätzliche Schutzschicht betrachtet werden.

EU-US-Datenschutzrahmen: Wichtige Punkte, die du kennen solltest

Das Inkrafttreten des EU-US-DPF

Der EU-US-DPF ist derzeit in Kraft. Der Angemessenheitsbeschluss zum Rahmen trat unmittelbar nach seiner Annahme am 10. Juli 2023 in Kraft.

Was ist neu am EU-US-DPF?

Der EU-US-DPF führt mehrere Rechte für betroffene Personen ein, darunter den Zugriff auf ihre Daten, die Berichtigung oder Löschung unrichtiger oder rechtswidrig verarbeiteter Daten. Er legt eine Reihe von Rechtsbehelfen fest, falls personenbezogene Daten gegen die Grundsätze des EU-US-DPF verarbeitet werden, einschliesslich eines kostenlosen unabhängigen Streitbeilegungsmechanismus und eines Schiedsgerichts.

Wie du überprüfen kannst, ob ein US-Unternehmen nach dem EU-US-DPF zertifiziert ist

Das US-Handelsministerium wird eine Liste der US-Unternehmen führen, die sich selbst zertifiziert und ihre Verpflichtung zur Einhaltung der Grundsätze des EU-US-DPF erklärt haben. Diese Liste hilft Datenexporteuren bei der Überprüfung der Zertifizierung eines US-Unternehmens.

Folgen der Entfernung aus der Liste des Datenschutzrahmens

Wird ein Unternehmen von der Liste des Datenschutzrahmens entfernt, profitiert es nicht mehr vom Angemessenheitsbeschluss der EU-Kommission bezüglich des EU-US-DPF. Folglich können europäische Datenexporteure keine personenbezogenen Daten mehr an diese US-Unternehmen übermitteln, ohne zusätzliche Schutzmassnahmen, wie z. B. eine spezielle DPA, die einen angemessenen Schutz nach der DSGVO gewährleisten.

Fazit

Die Welt des Datenschutzes entwickelt sich ständig weiter. Mit der Einführung des nFADP und des EU-US-DPF müssen Schweizer Unternehmen ein komplexes Umfeld bewältigen. In Erwartung des Schweizer-US-Datenschutzrahmens müssen Unternehmen informiert bleiben und sich an diese Veränderungen anpassen, um einen reibungsloseren Übergang zu gewährleisten.

Lass uns daran erinnern, dass das oberste Ziel darin besteht, sicherzustellen, dass personenbezogene Daten mit grösster Sorgfalt behandelt werden, wobei die Privatsphäre respektiert und das Vertrauen in diesem digitalen Zeitalter gefördert wird.
Klick hier und abonniere unseren Newsletter!
Klick hier und abonniere unseren Newsletter!
Klick hier und abonniere unseren Newsletter!
Klick hier und abonniere unseren Newsletter!
Klick hier und abonniere unseren Newsletter!
Klick hier und abonniere unseren Newsletter!