Am 15. September 2024 ist die Änderung der Datenschutzverordnung (DSV; SR 235.11) in Kraft getreten. Der Bundesrat hat beschlossen, Organisationen hinzuzufügen, die gemäss den Grundsätzen des Datenschutzrahmens zwischen der Schweiz und den USA zertifiziert wurden. Durch die Zertifizierung von US-Unternehmen und die Einrichtung des neuen US-Datenschutzgerichts wurde das Datenschutzniveau für zertifizierte Unternehmen angehoben. Folglich kann die Übermittlung von personenbezogenen Daten aus der Schweiz an diese US-Unternehmen zugelassen werden. Im Falle einer Auslagerung müssen die Bedingungen des Datenschutzes eingehalten werden.
Der Beschluss des Bundesrates
Gemäss Artikel 16 Absatz 1 des Bundesgesetzes über den Datenschutz vom 25. September 2020 (DSG; SR 235.1) dürfen Personendaten ins Ausland bekannt gegeben werden, wenn der Bundesrat festgestellt hat, dass der betreffende Staat über eine Gesetzgebung verfügt, die ein angemessenes Schutzniveau gewährleistet, oder das internationale Organ einen angemessenen Schutz garantiert. Die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe mit angemessenem Datenschutzniveau sind in Anhang 1 der DSV aufgeführt.
Der Beschluss des Bundesrates, Unternehmen, die gemäss dem Datenschutzrahmen zwischen der Schweiz und den USA zertifiziert worden sind, in die Liste im Anhang 1 der DSV aufzunehmen, ergibt sich aus der Tatsache, dass diese nach dem sogenannten Swiss-U.S. Data Privacy Framework zertifizierten Unternehmen ein angemessenes Schutzniveau gewährleisten. Die Liste der zertifizierten Unternehmen kann unter dataprivacyframework.gov/list eingesehen werden.
Die Unternehmen müssen ihre Zertifizierung jedes Jahr erneuern. Der Bundesrat überprüft regelmässig die Bedingungen für diesen Angemessenheitsbeschluss, der zudem jederzeit widerrufen werden kann.
Unveränderte Massnahmen, die bei der Auslagerung zu beachten sind
Die Massnahmen, die in den Artikeln 18-21 des Gesetzes über den Datenschutz vom 12. Oktober 2023 (DSchG; SGF 17.1) vorgesehen sind, ändern sich nicht. Sie müssen weiterhin eingehalten werden. Die Verarbeitung von personenbezogenen Daten, einschliesslich sensibler Daten, kann unter den im DSchG festgelegten Bedingungen ausgelagert werden.
Trotz dieses Angemessenheitsbeschlusses des Bundesrates muss also ein öffentliches Organ, das dem DSchG unterliegt, bei der Auslagerung an ein zertifiziertes Unternehmen in den USA sicherstellen, dass die in den Artikeln 18 bis 21 DSchG aufgeführten gesetzlichen Anforderungen eingehalten werden.
Weitere Informationen zum Thema Auslagerung finden Sie auf unserer speziellen Internetseite zu diesem Thema.