pri­va­tim: Über­mitt­lung von Per­so­nen­da­ten in die USA auf Basis des Data Pri­va­cy Framework

DE
DE EN FR

von

am

Branchen

Behörde

Gesetze

Themen

,
Take-Aways (AI)
  • Swiss‑US Data Pri­va­cy Frame­work-Zer­ti­fi­zie­rung wird all­ge­mein als aus­rei­chen­des Daten­schutz­ni­veau für Bund, Kan­to­ne und Gemein­den aner­kannt, recht­li­che Ver­ant­wor­tung der Behör­den bleibt jedoch bestehen.
  • Vor Über­mitt­lung an US‑Organisationen: Zer­ti­fi­kats­sta­tus veri­fi­zie­ren, Wider­rufs­mög­lich­keit beach­ten und ver­bind­li­che Aus­stiegs­sze­na­ri­en sowie Stan­dard­ver­trags­klau­seln vereinbaren.

pri­va­tim, die Kon­fe­renz der schwei­ze­ri­schen Daten­schutz­be­auf­trag­ten, hat Emp­feh­lun­gen zur „Über­mitt­lung von Per­so­nen­da­ten an Orga­ni­sa­tio­nen in den USA auf der Grund­la­ge des Swiss-US Data Pri­va­cy Frame­workver­öf­fent­licht (PDF).

Die Emp­feh­lun­gen begin­nen mit der Fest­stel­lung, dass zer­ti­fi­zier­te Orga­ni­sa­tio­nen „ein ange­mes­se­nes Daten­schutz­ni­veau haben“. Das trifft für den Bund nach Art. 16 Abs. 1 DSG und Art. 8 Abs. 1 DSV zu. Die Kan­to­ne ver­wei­sen häu­fig auf die Ange­mes­sen­heits­be­schlüs­se des Bun­des­rats (so etwa Basel-Stadt: § 23 Abs. 1 lit. a IDG und § 11 Abs. 1 IDV; Zürich: § 19 lit. a IDG und § 22 Abs. 1 IDV). 

Ent­spre­chend gilt eine Zer­ti­fi­zie­rung nach dem CH-US DPF (DPF) in der Regel auch nach den kan­to­na­len Daten­schutz­rech­ten als aus­rei­chend:

Für öffent­li­che Orga­ne der Kan­to­ne und Gemein­den ist die Beschei­ni­gung [eines ange­mes­se­nen Daten­schut­zes für zer­ti­fi­zier­te Fir­men nach dem Swiss‑U.S. DPF ] nicht immer direkt recht­lich ver­bind­lich, gilt aber im all­ge­mei­nen als genü­gen­de Grund­la­ge für die Aner­ken­nung eines ange­mes­se­nen Daten­schutz­ni­veaus für Bekannt­ga­ben sowie als ein mög­li­ches Kri­te­ri­um für die Daten­schutz-Fol­gen­ab­schät­zung für grenz­über­schrei­ten­de Aus­la­ge­run­gen von Daten­be­ar­bei­tun­gen. Indes­sen blei­ben öffent­li­che Orga­ne von Kan­to­nen und Gemein­den recht­lich für die ent­spre­chen­de Risi­ko­ein­schät­zung im Ein­zel­fall verantwortlich.

Dass der DPF auf töner­nen Füssen steht, ist aller­dings unstrit­tig, ins­be­son­de­re auf­grund der Schwä­chung des ame­ri­ka­ni­schen PCLOB (Pri­va­cy and Civil Liber­ties Over­sight Board) und der beim EuG hän­gi­gen Prü­fung der Ange­mes­sen­heit des EU-US DPF (Fall Latom­be v Com­mis­si­on, Rs. T‑553/23).

pri­va­tim gibt des­halb drei Emp­feh­lun­gen für die Aus­la­ge­rung von Daten an zer­ti­fi­zier­te Organisationen:

  1. Veri­fi­zie­ren: Zum Zeit­punkt einer geplan­ten Über­mitt­lung von Per­so­nen­da­ten an eine pri­va­te Orga­ni­sa­ti­on in den USA ist die Rechts­la­ge im Bereich des Swiss-US DPF zu veri­fi­zie­ren (https://www.dataprivacyframework.gov/list);
  2. Gütig­keit Zer­ti­fi­kat: Es ist zu beach­ten, dass der Wider­ruf oder die Nicht­er­neuerung des Zer­ti­fi­kats durch die Daten­emp­fän­ge­rin jeder­zeit mög­lich ist;
  3. Aus­stiegs­sze­na­rio: Bei einer Aus­la­ge­rung der Bear­bei­tung von Per­so­nen­da­ten an eine nach Swiss‑U.S. DPF zer­ti­fi­zier­te Orga­ni­sa­ti­on sind Aus­stiegs­sze­na­ri­en zu planen.

Die­se Emp­feh­lun­gen sind in der Sache sicher rich­tig, und sie decken sich mit dem, was auch pri­va­ten Unter­neh­men bein Export in die USA zu raten ist. Sinn­voll ist bspw. die Ver­ein­ba­rung der Stan­dard­ver­trags­klau­seln mit dem US-Impor­teur (mit den Anpas­sun­gen an die Schweiz, die der EDÖB ver­langt hat), mit direk­ter Gel­tung oder mit Gel­tung unter der Bedin­gung, dass der DPF für den Export an den Impor­teur nicht mehr wirk­sam sein sollte.