Der Bundesrat hat am 14. August 2024 das Swiss-U.S. Data Privacy Framework (DPF) anerkannt. Dieses neue Regelwerk, das am 15. September 2024 in Kraft tritt, schafft eine rechtliche Grundlage für die Übermittlung von Personendaten aus der Schweiz an zertifizierte Unternehmen in den USA.
Das U.S. Department of Commerce (DoC) führt eine öffentlich einsehbare Liste der zertifizierten Unternehmen.
Neues Datenschutzabkommen zwischen der Schweiz und den USA
Hintergrund des Swiss-U.S. Data Privacy Framework
Das DPF ersetzt das 2020 vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) als unzureichend eingestufte Swiss-U.S. Privacy Shield. Ziel des neuen Rahmenwerks ist es, ein Schutzniveau für die übermittelten Daten zu gewährleisten, das den Anforderungen des seit September 2023 geltenden Schweizer Datenschutzgesetzes (DSG) entspricht. Damit folgt die Schweiz der EU, welche bereits seit Juli 2023 das "EU-U.S. Data Privacy Framework" in Kraft gesetzt hat.
Was bedeutet das?
Mit der Annahme des DPF schafft der Bundesrat gleiche Rahmenbedingungen wie in der EU. Das neue Rahmenwerk bringt somit mehr Rechtssicherheit für Unternehmen, die personenbezogene Daten in die USA übermitteln.
US-Unternehmen, die nach dem DPF zertifiziert sind, verpflichten sich zur Einhaltung strenger Datenschutzstandards, was den Schutz Ihrer Daten gewährleistet. Damit wird der Datentransfer in die USA für Schweizer Unternehmen (und auch Privatpersonen) unkomplizierter. Da keine zusätzlichen Garantien wie Standardvertragsklauseln (SCCs) mehr nötig sind.
Somit entfällt für viele Schweizer Unternehmen die Notwendigkeit individueller Risikoabschätzungen und zusätzlicher Schutzmassnahmen für den Datentransfer in die USA. Was nicht nur interne Prozesse vereinfacht, sondern auch Kosten senkt und Ressourcen für die Einhaltung der Datenschutzvorgaben schont, welche nun nicht mehr im bisherigen Umfang erforderlich sind.
Welche Massnahmen sind zu ergreifen?
Überprüfen Sie, ob Ihre aktuellen Datenschutzmassnahmen für den Transfer von Daten in die USA den neuen Anforderungen entsprechen.
Für nicht-zertifizierte US-Unternehmen müssen weiterhin zusätzliche Garantien (SCCs) sichergestellt werden.
Bestehende Garantien mit US-Unternehmen sollten beibehalten werden, um beispielswiese im Falle des Verlusts der Zertifizierung eines Unternehmens eine Absicherung zu haben. Auch hinsichtlich der Überprüfung durch den europäischen Gerichtshof aufgrund von Klagen gegen das bestehende EU-U.S. Data Privacy Framework und der daraus möglichen Ungültigkeitserklärung des Rahmenwerks ist es sinnvoll, diese beizubehalten.
Für eine rechtssichere Unterstützung empfehlen wir den Beizug eines auf Datenschutz spezialisierten Anwalts.
Rechtlicher Hinweis
Dieser Blogbeitrag gibt allgemeine Auskünfte zur Thematik und ersetzt keine individuelle Rechtsberatung. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.
Quellen
- admin.ch: Swiss-U.S. Data Privacy Framework: Zertifizierte US-Unternehmen bieten einen angemessenen Schutz für Personendaten
- inside-it.ch: Neues Data Privacy Framework zwischen Schweiz und USA
- eastdigital.ch: Neues Datenschutzabkommen zwischen der Schweiz und den USA tritt in Kraft
- Newsletter: Muri Partner Rechtsanwälte