1. Aktuelle Seite:  
  2. Prinz-Blog
  3. Prinz Fachbeiträge
  4. Datenschutz – grenzenlos

Datenschutz – grenzenlos

In der aktuellen Ausgabe der Mitgliederzeitschrift Nr. 02/2022 der Handelskammer Deutschland Schweiz ist unser neuer Fachbeitrag von unserer Alena Lustig veröffentlicht worden:

 

Was es bei Datenübermittlungen zwischen der Schweiz und Deutschland zu beachten gilt

Grundsätzlich können Daten zwischen der Schweiz und Deutschland ohne besondere Vorkehrungen übermittelt werden. Beiden Ländern wird ein gleichermaßen hohes Datenschutzniveau attestiert, sodass keine speziellen Regelungen oder Schutzvorkehrungen zu beachten sind.

Die EU-Datenschutz-Grundverordnung (DSGVO)

Dieser Umstand beruht auf einem sogenannten Angemessenheitsbeschluss der Europäischen Kommission: Die Datenschutz-Grundverordnung fordert in Art. 45 DSGVO, dass Datenübermittlungen in Drittländer außerhalb der EU dann ohne gesonderte Genehmigungen oder Einschränkungen erlaubt sind, wenn die EU-Kommission mittels eines Angemessenheitsbeschlusses festgelegt hat, dass das betreffende Drittland ein angemessenes Schutzniveau für personenbezogenen Daten bietet. Kurz gesagt werden dadurch Länder, die keine Mitglieder der EU sind, datenschutzrechtlich mit EU-Mitgliedern gleichgestellt. Zu dieser Ländergruppe gehören beispielsweise auch Kanada oder Japan. Es können jedoch nicht jegliche Verarbeitungen über einen solchen Beschluss abgedeckt werden: Beispielsweise gelten für Datenverarbeitungen von Behörden zur Aufdeckung oder Verfolgung von Straftaten speziell die Regelungen der sog. EU-Richtlinie 2016/680 (JI-Richtlinie).

Der Angemessenheitsbeschluss der Schweiz

Der Angemessenheitsbeschluss für Datenübermittlungen in die Schweiz datiert aus dem Jahr 2000. Damit ist dieser von der EU-Kommission angenommen worden, lange bevor die DSGVO in Kraft getreten ist. Die gesetzliche Grundlage war damals Art. 25 Abs. 6 der EU-Datenschutzrichtlinie (95/46/EG). Mit der Gültigkeit der DSGVO ab dem 25. Mai 2018 hat sich an dem Beschluss nichts geändert. Die bis dahin angenommenen Angemessenheitsbeschlüsse haben weiter Bestand, solange bis die EU-Kommission diese ändert, ersetzt oder aufhebt (gemäß Art. 45 Abs. 9 DSGVO).

Die DSGVO sieht regelmäßige Überprüfungen der Angemessenheitsbeschlüsse, bei denen für den Datenschutz maßgebliche Entwicklungen in dem jeweiligen Drittland betrachtet werden, vor. Unabhängig von der Revision des schweizerischen Datenschutzgesetzes und dessen für nächstes Jahr geplantes in-Kraft-Treten, sondern im Rahmen dieser regelmäßigen Prüfungen, überarbeitet die EU-Kommission momentan unter Anderem auch den Angemessenheitsbeschluss für die Schweiz. Es ist davon auszugehen, dass dieser erneuert wird.

Das revidierte Datenschutzgesetz in der Schweiz (revDSG)

Das erste schweizerische und bisher gültige Datenschutzgesetz ist aus dem Jahr 1992. Mit der nun erfolgten Überarbeitung einher gehen auch die Umsetzung der oben bereits erwähnten Schengen-relevanten JI-Richtlinie zum Datenschutz in Strafsachen sowie die Ratifizierung des revidierten Datenschutzübereinkommens SEV 108 des Europarats. Zusammen mit der Annäherung an das europäische Datenschutzrecht wird Letztere als zentraler Punkt dafür angesehen, dass die Schweiz von der EU weiterhin als sicherer Drittstaat mit einem angemessenen Datenschutzniveau angesehen wird.

2020 wurde in der Schweiz ein neues Datenschutzgesetz (nDSG oder revDSG) vom Parlament beschlossen. Als primäre Gründe dafür wurden die Anpassung an den allgemeinen technologischen Fortschritt und eben die Annäherung an die datenschutzrechtlichen Regelungen der EU angegeben. Vor allem mit der Übernahme des risikobasierten Ansatzes der DSGVO ist eine der wesentlichen Anpassung erfolgt. Auch wurden die Grundsätze der Datenschutz-Prinzipien „Privacy by Design" (Datenschutz durch Technikgestaltung) und „Privacy by Default" (Datenschutz durch datenschutzfreundliche Voreinstellungen) übernommen. Ein weiteres Ziel der Überarbeitung war die Ausweitung der Transparenz, was mit neuen Informationspflichten erreicht werden wird.

In Kraft treten soll das revDSG am 01. September 2023 durch eine sogenannte Verordnung zum Bundesgesetz über den Datenschutz (VDSG). Im Rahmen dieses Prozesses müssen die neuen datenschutzrechtlichen Bestimmungen noch auf Verordnungsebene näher erläutert werden. Beispielsweise wird die Verordnung Ausnahmen regeln, wann Verantwortliche mit weniger als 250 MitarbeiterInnen von der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten / Bearbeitungstätigkeiten entbunden werden.

Eine Übergangsfrist für das neue Datenschutzgesetz ist nicht vorgesehen. Durch die Gesetzesänderung können für Unternehmer neue oder geänderte Verpflichtungen entstehen. Wer sich als verantwortliche Stelle bisher noch nicht an die europäische DSGVO angepasst hat, kann sich auf einige Änderungen in Bezug auf Verarbeitungen und auch auf deren datenschutzrechtliche Dokumentation einstellen. Daher empfiehlt es sich, jetzt schon die Anpassung der Verarbeitung personenbezogener Daten oder Personendaten an die kommenden gesetzlichen Änderungen im Blick zu haben und das eigene Personal zu sensibilisieren.

Wesentliche Neuerungen im schweizerischen revDSG

Neu ist die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten mit der bereits weiter oben angesprochenen Ausnahme.

Eine der wichtigsten Neuerungen betrifft die Strafbestimmungen. Im Gegensatz zu den Regelungen in der DSGVO können nach dem neuen Gesetz in der Schweiz nicht nur Unternehmen, sondern auch Privatpersonen bei Datenschutzverletzungen bestraft und mit Geldbußen belegt werden.

Außerdem werden durch das neue Gesetz die Aufsichtsbefugnisse des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ausgeweitet.

Eine weitere Neuerung ist eine Förderung der Selbstregulierung für einzelne Branchen wie Berufs-, Branchen- und Wirtschaftsverbände durch verbindliche Verhaltenskodizes. Solche Kodizes können die Mitglieder von Branchen oder Verbänden dann wiederum von gewissen Pflichten entbinden. Dies könnte vor allem in Hinblick auf die Pflicht zur Durchführung einer Datenschutz-Folgeabschätzung Entlastungen mit sich bringen.

Die Ausweitung der Informationspflichten sieht unter Anderem eine angemessene Information der Betroffenen vor jeder Datenerhebung vor. Hier gilt es für Verantwortliche schon jetzt zu überprüfen, ob bis zum in-Kraft-Treten des revDSG bestehende Datenschutzerklärungen dahingehend überarbeitet werden sollten.

Das bleibt gleich: Der Auftragsverarbeitungsvertrag (AVV) und der EU-Vertreter gemäß Art. 27 DSGVO für schweizerische Verantwortliche

Der grundsätzliche Transfer von Daten in die Schweiz ist durch den Angemessenheitsbeschluss legitimiert. Ungeachtet dieses gesetzlich abgesicherten gleichen Datenschutzniveaus in der Schweiz und in Deutschland gilt es für Verantwortliche, die Auftragsdatenverarbeiter im jeweils anderen Land mit der Verarbeitung von personenbezogenen Daten beauftragen, die entsprechenden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abzuschließen. Hier empfiehlt sich grundsätzlich die Verwendung der 2021 von der EU veröffentlichten sogenannten Standardvertragsklauseln.

Im Allgemeinen gilt nach Art. 27 DSGVO: Wer als schweizerische verantwortliche Stelle Daten von Personen verarbeitet, die sich in der EU befinden und denen die verantwortliche Stelle Waren oder Dienstleistungen anbietet oder deren Verhalten in der Union von der verantwortliche Stelle beobachtet wird, hat einen in einem frei wählbaren EU-Mitgliedsstaat ansässigen Vertreter zu benennen. Dieser hat im Namen des Verantwortlichen vor allem als erster Kontakt für Betroffene sowie für Behörden zu fungieren.


Eure Andrea 

von Datenschutz Prinz

EU-Kommission verabschiedet Angemessenheitsbeschlu...
Allmächd - Einwilligungen

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.