Neuer Datenschutzrahmen zwischen der Schweiz und den USA: Sichere Übermittlung von Personendaten

Der Bundesrat hat an seiner Sitzung vom 14. August 2024 entschieden, die USA auf die Liste der Länder mit einem angemessenen Datenschutzniveau zu setzen. Dies bedeutet, dass die Übermittlung von Personendaten aus der Schweiz an zertifizierte Unternehmen in den USA ohne zusätzliche Garantien möglich ist. Der neue Datenschutzrahmen, der auf dem Swiss-U.S. Data Privacy Framework basiert, bietet einen angemessenen Schutz für die Übermittlung von Personendaten.

Was bedeutet dies für Schweizer Unternehmen?

Mit dieser Entscheidung können Schweizer Unternehmen Personendaten an zertifizierte US-Unternehmen übermitteln, ohne dass sie zusätzliche Garantien wie Standardvertragsklauseln oder Binding Corporate Rules benötigen. Zudem können Intra-Group-Übermittlungen sich nun auf das Swiss-U.S. Data Privacy Framework stützen. Dies erleichtert den Datenaustausch zwischen der Schweiz und den USA und schafft gleiche Rahmenbedingungen für Privatpersonen sowie für Unternehmen in der Schweiz. Um sicherzustellen, dass die Zertifizierung des US-Unternehmens aufrechterhalten wird, empfehlen wir Schweizer Unternehmen sich dies vertraglich zusichern zu lassen.

Welche US-Unternehmen sind nach dem Swiss-U.S. Data Privacy Framework zertifiziert?

Viele US-Unternehmen haben sich bereits nach dem Swiss-U.S. Data Privacy Framework zertifiziert, darunter bekannte Unternehmen wie Microsoft, Google, Amazon und Salesforce. Eine aktuelle Liste aller zertifizierten Unternehmen kann auf der Website des US-Handelsministeriums unter www.dataprivacyframework.gov/list abgerufen werden. Hier können Unternehmen nach zertifizierten Partnern in den USA suchen und sich über die Details ihrer Zertifizierung informieren. Dies kann für Schweizer Unternehmen hilfreich sein, die Daten an US-Unternehmen übermitteln möchten und sicherstellen möchten, dass diese Unternehmen die erforderlichen Datenschutzstandards erfüllen.

Wie wird der Datenschutz gewährleistet?

Die Zertifizierung für US-Unternehmen stellt sicher, dass die vorgesehenen Datenschutzmassnahmen und Datenschutzgarantien eingehalten werden. Die zertifizierten Unternehmen dürfen die Daten nur für diejenigen Zwecke bearbeiten, für die sie erhoben wurden, und die Weitergabe an Dritte ist nicht zulässig. Beim Zugang durch US-Behörden auf Personendaten, die von der Schweiz bekanntgegeben werden, sind verschiedene Garantien vorgesehen, einschliesslich ein Beschwerdemechanismus.

Bei einer Übermittlung von Daten aus der Schweiz in einen EU-Mitgliedsstaat und einer anschliessenden Weiterübermittlung an ein US-Unternehmen, das nach dem EU-U.S. Data Privacy Framework zertifiziert ist, wird diese Weiterübermittlung durch das EU-U.S. Data Privacy Framework abgedeckt.

Wann tritt die Änderung in Kraft?

Die entsprechende Änderung der Datenschutzverordnung tritt am 15. September 2024 in Kraft. Ab diesem Datum können Schweizer Unternehmen Personendaten an zertifizierte US-Unternehmen übermitteln, ohne dass sie zusätzliche Garantien benötigen.

Fazit

Der neue Datenschutzrahmen zwischen der Schweiz und den USA bietet einen angemessenen Schutz für die Übermittlung von Personendaten und erleichtert den Datenaustausch zwischen den beiden Ländern. Schweizer Unternehmen sollten sich jedoch weiterhin an die geltenden Datenschutzbestimmungen halten und sicherstellen, dass sie die erforderlichen Massnahmen zum Schutz von Personendaten treffen.

(16.08.2024/Benjamin Hundius)

Sie haben Fragen zum Swiss-U.S. Data Privacy Framework oder benötigen rechtliche Beratung bei der Umsetzung von Datenschutzmassnahmen in Ihrem Unternehmen? Unsere Kanzlei steht Ihnen gerne zur Verfügung. Kontaktieren Sie uns noch heute, um Ihre individuellen Bedürfnisse zu besprechen und Ihre Datenschutzstrategie zu optimieren.

Ihre Spezialisten:

Simon T. Oeschger

Michael Widmer

Benjamin Hundius