Das neue Bundesgesetz über den Datenschutz (nFADP) hat Diskussionen über den Datenschutz in der Schweiz und seine Auswirkungen auf Unternehmen, besonders im Zeitalter der Digitalisierung, ausgelöst. Damit du dich in den Feinheiten dieses Gesetzes zurechtfindest, habe ich einen umfassenden Leitfaden zusammengestellt.
Einführung in das nFADP
Das nFADP ist ein Schweizer Gesetz, das den Schutz personenbezogener Daten verbessern soll. Es kommt in einer Zeit, in der sich digitale Transformationen schnell vollziehen und der Datenschutz zu einem dringenden Anliegen geworden ist. Das Gesetz zielt darauf ab, die Schweizer Datenschutzstandards an die Datenschutzgrundverordnung (DSGVO) der Europäischen Union anzugleichen.
Der EU-US-Datenschutzrahmen und seine Auswirkungen
Am 10. Juli 2023 hat die Europäische Kommission den EU-US-Datenschutzrahmen (DPF) geschaffen, eine wichtige Entwicklung für internationale Datenübermittlungen.
Der DPF dient als Mechanismus, um einen angemessenen Datenschutz zu gewährleisten, wenn private oder öffentliche Stellen in der EU und im Europäischen Wirtschaftsraum (EWR) personenbezogene Daten an US-Unternehmen weitergeben, die Teil des Rahmens sind.
Die Einführung des EU-US-DPF war nicht einfach. Es war der dritte Versuch der EU- und US-Behörden, die transatlantische Weitergabe personenbezogener Daten zu erleichtern. Der Gerichtshof der Europäischen Union (EuGH) hatte die vorherigen Versuche – das Safe-Harbor-Abkommen und den Privacy Shield – für ungültig erklärt, daher die Entstehung des EU-US-DPF.
Der EU-US-DPF stützt sich auch auf die US-Executive Order 14086 (EO 14086), die Präsident Biden am 7. Oktober 2022 unterzeichnet hat. Diese Verordnung legt Schutzmassnahmen für die US-Nachrichtendienste fest und bringt sie in Einklang mit den Grundsätzen des europäischen Rechts, einschliesslich Verhältnismässigkeit, Aufsicht und wirksamer Rechtsbehelfe für betroffene Datenpersonen.
Unternehmen, die unter den EU-US-DPF fallen, müssen sich an bestimmte Datenschutzgrundsätze halten, die vom US-Handelsministerium festgelegt wurden. Diese Grundsätze zielen darauf ab, ein angemessenes Datenschutzniveau zu erreichen, das der Verarbeitung personenbezogener Daten entspricht, die von Datenexporteuren in der EU und im EWR erhalten werden.
Die Auswirkungen des EU-US-DPF auf Datenexporte in die USA
Mit der Zustimmung der EU-Kommission zum DPF können Datenexporteure personenbezogene Daten aus der EU und dem EWR an zertifizierte US-Unternehmen im Rahmen des DPF ohne zusätzliche Schutzmassnahmen übermitteln. Unternehmen sollten jedoch prüfen, ob sie ihre Datenweitergaben vollständig auf den EU-US-DPF verlagern, angesichts seiner ungewissen Zukunft.
Schweizer Unternehmen und der EU-US-DPF
Schweizer Unternehmen können vom EU-US-DPF nur in begrenztem Umfang profitieren, da er keine Datenexporteure in der Schweiz umfasst, die personenbezogene Daten an zertifizierte Unternehmen in den USA weitergeben. Damit Schweizer Datenexporteure personenbezogene Daten rechtmässig an Empfänger in den USA weitergeben können, müssen sie sich auf gesetzliche Ausnahmen stützen oder alternative Schutzmassnahmen implementieren, um ein angemessenes Datenschutzniveau zu gewährleisten, wie z. B. die EU-Standardvertragsklauseln (SCC) oder auch als Datenverarbeitungsvereinbarungen (DPA) bekannt.
Der vorgeschlagene Schweizer-US-Datenschutzrahmen
Die Schweiz befindet sich derzeit in Gesprächen über einen "Schweizer-US-Datenschutzrahmen". Dieser Rahmen wird die Einschränkungen des EU-US-DPF für Schweizer Unternehmen beheben. Bis zu seiner Annahme müssen Schweizer Unternehmen geduldig bleiben und die USA weiterhin als Land ohne angemessene Datenschutzgesetze betrachten.
Überlegungen für Schweizer Unternehmen
Schweizer Unternehmen sollten die USA weiterhin als Land ohne angemessene Datenschutzgesetze betrachten, bis der Schweizer-US-Datenschutzrahmen angenommen wird.
Wenn ein US-Unternehmen jedoch nach dem EU-US-DPF zertifiziert ist, kann dies als zusätzliche Schutzschicht betrachtet werden.
EU-US-Datenschutzrahmen: Wichtige Punkte, die du kennen solltest
Das Inkrafttreten des EU-US-DPF
Der EU-US-DPF ist derzeit in Kraft. Der Angemessenheitsbeschluss zum Rahmen trat unmittelbar nach seiner Annahme am 10. Juli 2023 in Kraft.
Was ist neu am EU-US-DPF?
Der EU-US-DPF führt mehrere Rechte für betroffene Personen ein, darunter den Zugriff auf ihre Daten, die Berichtigung oder Löschung unrichtiger oder rechtswidrig verarbeiteter Daten. Er legt eine Reihe von Rechtsbehelfen fest, falls personenbezogene Daten gegen die Grundsätze des EU-US-DPF verarbeitet werden, einschliesslich eines kostenlosen unabhängigen Streitbeilegungsmechanismus und eines Schiedsgerichts.
Wie du überprüfen kannst, ob ein US-Unternehmen nach dem EU-US-DPF zertifiziert ist
Das US-Handelsministerium wird eine Liste der US-Unternehmen führen, die sich selbst zertifiziert und ihre Verpflichtung zur Einhaltung der Grundsätze des EU-US-DPF erklärt haben. Diese Liste hilft Datenexporteuren bei der Überprüfung der Zertifizierung eines US-Unternehmens.
Folgen der Entfernung aus der Liste des Datenschutzrahmens
Wird ein Unternehmen von der Liste des Datenschutzrahmens entfernt, profitiert es nicht mehr vom Angemessenheitsbeschluss der EU-Kommission bezüglich des EU-US-DPF. Folglich können europäische Datenexporteure keine personenbezogenen Daten mehr an diese US-Unternehmen übermitteln, ohne zusätzliche Schutzmassnahmen, wie z. B. eine spezielle DPA, die einen angemessenen Schutz nach der DSGVO gewährleisten.
Fazit
Die Welt des Datenschutzes entwickelt sich ständig weiter. Mit der Einführung des nFADP und des EU-US-DPF müssen Schweizer Unternehmen ein komplexes Umfeld bewältigen. In Erwartung des Schweizer-US-Datenschutzrahmens müssen Unternehmen informiert bleiben und sich an diese Veränderungen anpassen, um einen reibungsloseren Übergang zu gewährleisten.
Lass uns daran erinnern, dass das oberste Ziel darin besteht, sicherzustellen, dass personenbezogene Daten mit grösster Sorgfalt behandelt werden, wobei die Privatsphäre respektiert und das Vertrauen in diesem digitalen Zeitalter gefördert wird.