Die Europäische Kommission hat am 15. Januar 2024 den sehnlich erwarteten Bericht zur Überprüfung der Angemessenheitsentscheidungen auf Basis noch der Datenschutz-Richtlinie vorgelegt: “Report […] on the first review of the functioning of the adequacy decisions adopted pursuant to Article 25(6) of Directive 95/46/EC”. Dieser Bericht hat u.a. deshalb so viel Zeit in Anspruch genommen, weil die EU das Schrems II-Urteil mitberücksichtigen wollte; sie hatte die Arbeiten deshalb für eine gewisse Zeit ausgesetzt.
Dazu gehört auch die vor 23 Jahren anerkannte Angemessenheit des schweizerischen Rechts (neben Andorra, Argentinien, Kanada (teilweise), den Färöer-Inseln, Guernsey, der Isle of Man, Israel, Jersey, Neuseeland und and Uruguay).
Die Angemessenheit des schweizerischen Datenschutzrechts wurde bestätigt. Damit anerkennt die Kommission, dass das aktuelle Datenschutzrecht der Schweiz “essentially equivalent” zur DSGVO im Lichte der Charta ist, also dem Masstab genügt, den der EuGH 2015 in Schrems I gesetzt und in Schrems II konkretisiert hatte (dazu sagen die “Adequacy Referentials” des Euroäische Datenschutz-Ausschusses mehr). Genauer gesagt: Die Angemessenheit des schweizerischen Rechts, denn die Beurteilung ist nicht auf das Datenschutzrecht im eigentlichen Sinne beschränkt, sondern umfasst auch etwa Regelungen zum Behördenzugriff und insbesondere, ob diese den “Essential Guarantees” genügen, also der Anforderungen der EU-Charta an Rechtsstaatlichkeit. Eine Medienmitteilung des EJPD dazu ist hier zu finden.
Die Aussagen im Report selbst sind recht knapp; weitere Informationen finden sich im soweit ersichtlich noch nicht verfügbaren Arbeitsdokument “SWD(2024) 3” (SWD meint Staff Working Document). Zur Schweiz sagt die Kommission darin folgendes:
The Commission welcomes the developments in the Swiss legal framework since the adoption of the adequacy decision, including legislative amendments, case law and activities of oversight bodies, which have contributed to an increased level of data protection. In particular, the modernised Federal Act on Data Protection that has further increased the convergence with the EU’s data protection framework, notably with respect to the protections for sensitive data and the rules on international data transfers. Switzerland also strengthened its international commitments in the field of data protection by ratifying Convention 108+ in September 2023.
In the area of government access to personal data, public authorities in Switzerland are subject to clear, precise and accessible rules under which such authorities can access and subsequently use for public interest objectives, in particular for criminal law enforcement and national security purposes, data transferred from the EU. These limitations and safeguards follow from the overarching legal framework and international commitments, notably the Swiss Federal Constitution, the ECHR and Convention 108+, as well as from Swiss data protection rules, including the Federal Act on Data Protection and specific data protection rules that apply to criminal law enforcement (e.g., the Criminal Procedure Code) and national security authorities (e.g., the Intelligence Service Act). In addition, Swiss law imposes a number of specific limitations on the access to and use of personal data for criminal law enforcement and national security purposes, and it provides oversight and redress mechanisms in this area.
Based on the overall findings set out in the SWD, the Commission concludes that Switzerland continues to provide an adequate level of protection for personal data transferred from the EU
Die Angemessenheit wird laufend beurteilt; sie ist in diesem Sinne keine Anwartschaft:
The Commission will continue to closely monitor developments in the protection frameworks and actual practice of the countries and territories concerned. In case of developments in an adequate country or territory that would negatively affect the level of data protection found adequate, the Commission will, where necessary, make use of its powers under Article 45(5) GDPR to suspend, amend or withdraw an adequacy decision.
Die EU sieht Angemessenheitsentscheidungen nicht bloss aus Basis für Übermittlungen aus dem EWR, sondern als strategisches Instrument einer Datenaussenpolitik, denn das Angemessenheitsregime wirkt sich auf die Legiferierung in Drittstaaten aus (für die Schweiz keine neue Erkenntnis), und die Angemessenheitsentscheidungen der EU werden auch von anderen Staaten respektiert oder übernommen, was einen gewissen Netzwerkeffekt hat (dazu gehören neben der Schweiz auch Argentinien, Kolumbien, Israel, Marokko und Uruguay).