EU-Kom­mis­si­on: Ange­mes­sen­heit des schwei­ze­ri­schen Rechts bestätigt

Die Euro­päi­sche Kom­mis­si­on hat am 15. Janu­ar 2024 den sehn­lich erwar­te­ten Bericht zur Über­prü­fung der Ange­mes­sen­heits­ent­schei­dun­gen auf Basis noch der Daten­schutz-Richt­li­nie vor­ge­legt: “Report […] on the first review of the func­tio­ning of the ade­qua­cy decis­i­ons adopted pur­su­ant to Artic­le 25(6) of Direc­ti­ve 95/46/EC”. Die­ser Bericht hat u.a. des­halb so viel Zeit in Anspruch genom­men, weil die EU das Schrems II-Urteil mit­be­rück­sich­ti­gen woll­te; sie hat­te die Arbei­ten des­halb für eine gewis­se Zeit ausgesetzt.

Dazu gehört auch die vor 23 Jah­ren aner­kann­te Ange­mes­sen­heit des schwei­ze­ri­schen Rechts (neben Andor­ra, Argen­ti­ni­en, Kana­da (teil­wei­se), den Färö­er-Inseln, Guern­sey, der Isle of Man, Isra­el, Jer­sey, Neu­see­land und and Uruguay).

Die Ange­mes­sen­heit des schwei­ze­ri­schen Daten­schutz­rechts wur­de bestä­tigt. Damit aner­kennt die Kom­mis­si­on, dass das aktu­el­le Daten­schutz­recht der Schweiz “essen­ti­al­ly equi­va­lent” zur DSGVO im Lich­te der Char­ta ist, also dem Mas­stab genügt, den der EuGH 2015 in Schrems I gesetzt und in Schrems II kon­kre­ti­siert hat­te (dazu sagen die “Ade­qua­cy Refe­ren­ti­als” des Euroäi­sche Daten­schutz-Aus­schus­ses mehr). Genau­er gesagt: Die Ange­mes­sen­heit des schwei­ze­ri­schen Rechts, denn die Beur­tei­lung ist nicht auf das Daten­schutz­recht im eigent­li­chen Sin­ne beschränkt, son­dern umfasst auch etwa Rege­lun­gen zum Behör­den­zu­griff und ins­be­son­de­re, ob die­se den “Essen­ti­al Gua­ran­tees” genü­gen, also der Anfor­de­run­gen der EU-Char­ta an Rechts­staat­lich­keit. Eine Medi­en­mit­tei­lung des EJPD dazu ist hier zu finden.

Die Aus­sa­gen im Report selbst sind recht knapp; wei­te­re Infor­ma­tio­nen fin­den sich im soweit ersicht­lich noch nicht ver­füg­ba­ren Arbeits­do­ku­ment “SWD(2024) 3” (SWD meint Staff Working Docu­ment). Zur Schweiz sagt die Kom­mis­si­on dar­in folgendes:

The Com­mis­si­on wel­co­mes the deve­lo­p­ments in the Swiss legal frame­work sin­ce the adop­ti­on of the ade­qua­cy decis­i­on, inclu­ding legis­la­ti­ve amend­ments, case law and acti­vi­ties of over­sight bodies, which have con­tri­bu­ted to an increa­sed level of data pro­tec­tion. In par­ti­cu­lar, the moder­ni­s­ed Fede­ral Act on Data Pro­tec­tion that has fur­ther increa­sed the con­ver­gence with the EU’s data pro­tec­tion frame­work, nota­b­ly with respect to the pro­tec­tions for sen­si­ti­ve data and the rules on inter­na­tio­nal data trans­fers. Switz­er­land also streng­the­ned its inter­na­tio­nal com­mit­ments in the field of data pro­tec­tion by rati­fy­ing Con­ven­ti­on 108+ in Sep­tem­ber 2023.

In the area of govern­ment access to per­so­nal data, public aut­ho­ri­ties in Switz­er­land are sub­ject to clear, pre­cise and acce­s­si­ble rules under which such aut­ho­ri­ties can access and sub­se­quent­ly use for public inte­rest objec­ti­ves, in par­ti­cu­lar for cri­mi­nal law enforce­ment and natio­nal secu­ri­ty pur­po­ses, data trans­fer­red from the EU. The­se limi­ta­ti­ons and safe­guards fol­low from the over­ar­ching legal frame­work and inter­na­tio­nal com­mit­ments, nota­b­ly the Swiss Fede­ral Con­sti­tu­ti­on, the ECHR and Con­ven­ti­on 108+, as well as from Swiss data pro­tec­tion rules, inclu­ding the Fede­ral Act on Data Pro­tec­tion and spe­ci­fic data pro­tec­tion rules that app­ly to cri­mi­nal law enforce­ment (e.g., the Cri­mi­nal Pro­ce­du­re Code) and natio­nal secu­ri­ty aut­ho­ri­ties (e.g., the Intel­li­gence Ser­vice Act). In addi­ti­on, Swiss law impo­ses a num­ber of spe­ci­fic limi­ta­ti­ons on the access to and use of per­so­nal data for cri­mi­nal law enforce­ment and natio­nal secu­ri­ty pur­po­ses, and it pro­vi­des over­sight and redress mecha­nisms in this area.

Based on the over­all fin­dings set out in the SWD, the Com­mis­si­on con­clu­des that Switz­er­land con­ti­nues to pro­vi­de an ade­qua­te level of pro­tec­tion for per­so­nal data trans­fer­red from the EU

Die Ange­mes­sen­heit wird lau­fend beur­teilt; sie ist in die­sem Sin­ne kei­ne Anwartschaft:

The Com­mis­si­on will con­ti­n­ue to clo­se­ly moni­tor deve­lo­p­ments in the pro­tec­tion frame­works and actu­al prac­ti­ce of the count­ries and ter­ri­to­ries con­cer­ned. In case of deve­lo­p­ments in an ade­qua­te coun­try or ter­ri­to­ry that would nega­tively affect the level of data pro­tec­tion found ade­qua­te, the Com­mis­si­on will, whe­re neces­sa­ry, make use of its powers under Artic­le 45(5) GDPR to sus­pend, amend or with­draw an ade­qua­cy decision.

Die EU sieht Ange­mes­sen­heits­ent­schei­dun­gen nicht bloss aus Basis für Über­mitt­lun­gen aus dem EWR, son­dern als stra­te­gi­sches Instru­ment einer Daten­aus­senpo­li­tik, denn das Ange­mes­sen­heits­re­gime wirkt sich auf die Legi­fe­rie­rung in Dritt­staa­ten aus (für die Schweiz kei­ne neue Erkennt­nis), und die Ange­mes­sen­heits­ent­schei­dun­gen der EU wer­den auch von ande­ren Staa­ten respek­tiert oder über­nom­men, was einen gewis­sen Netz­werk­ef­fekt hat (dazu gehö­ren neben der Schweiz auch Argen­ti­ni­en, Kolum­bi­en, Isra­el, Marok­ko und Uruguay).

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter