Durchtrennt das Privacy Framework den gordischen Knoten?
Im September tritt das neue Datenschutzabkommen mit den USA in Kraft. Swico erwartet Rechtssicherheit und geringere Compliance-Kosten.
Das neue Swiss-US Data Privacy Framework soll einen sicheren und effizienten Datenaustausch zwischen der Schweiz und den USA gewährleisten. Wie Schweizer Unternehmen davon profitieren können, zeigt Benjamin Christof Berren vom Digitalverband Swico im nachfolgenden Beitrag.
Der Datenaustausch zwischen der Schweiz und den USA war in den letzten Jahren aufgrund strenger Datenschutzbestimmungen und dem Scheitern des Swiss-US Privacy Shield stark eingeschränkt. Nachdem die EU ein neues Datenschutzabkommen mit den USA geschlossen hat, das am 10. Juli 2023 offiziell in Kraft trat, intensivierten sich auch die Verhandlungen zwischen der Schweiz und den USA über ein ähnliches Rahmenwerk.
Mit dem Entscheid des Bundesrats vom 14. August 2024, die USA als Land mit angemessenem Datenschutz anzuerkennen, tritt das langerwartete «Swiss-US Data Privacy Framework» mit einer entsprechenden Änderung der Datenschutzverordnung auf den 15. September 2024 offiziell in Kraft.
Status quo
Swico begrüsst diesen Entscheid, zumal wir uns aktiv für das entsprechende Framework eingesetzt haben. Neue Standards im Datenschutz Für den internationalen Datenaustausch müssen die geltenden Vorschriften des Datenschutzgesetzes (DSG) eingehalten werden. Gemäss DSG dürfen Personendaten aus der Schweiz nur dann ins Ausland übermittelt werden, wenn die Gesetzgebung des betreffenden Staates einen angemessenen Datenschutz bietet.
Im Fall der USA wurde dieser Schutz durch den Swiss-US Privacy Shield gewährleistet, der an das gleichnamige Abkommen der EU mit den USA angelehnt war. Im Juni 2020 erklärte der Europäische Gerichtshof (EuGH) den EU-US Privacy Shield für ungültig mit der Begründung, dass die Daten von EU-Bürgern in den USA nicht ausreichend vor staatlicher Überwachung geschützt sind. Er sah die Grundrechte verletzt, da EU-Bürger keine wirksame Möglichkeit hatten, sich gegen unrechtmässige Überwachung oder Datenzugriffe durch US-Behörden zu wehren.
In der Folge erklärte auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) den Swiss-US Privacy Shield als unzureichend. Dies führte dazu, dass die Schweiz die USA nicht mehr als Staat mit angemessenem Datenschutz anerkannte. Infolgedessen mussten sich Schweizer Unternehmen für Datenübermittlungen an Datenimporteure in den USA auf andere Garantien stützen. Eine Möglichkeit war die Verwendung sogenannter Standardvertragsklauseln. Der EDÖB stellte jedoch erhöhte Anforderungen an solche Datentransfers, was Datenexporteure zu umständlichen einzelfallabhängigen Risikoabschätzungen verpflichtete.
Neubeginn
Nun soll das neue Swiss-US Data Privacy Framework die Rechtssicherheit für den Datenaustausch zwischen der Schweiz und den USA wiederherstellen. Teilnehmende US-Unternehmen treten dem Framework bei, indem sie sich zur Einhaltung spezifischer Datenschutzvorgaben verpflichten. Diese Verpflichtungen umfassen unter anderem die Löschung personenbezogener Daten, sobald der Zweck ihrer Erhebung oder die Sicherstellung des Schutzes und der Zweckgebundenheit der Daten auch bei der Weitergabe an Dritte erfüllt ist. Ausserdem müssen Unternehmen geeignete Massnahmen ergreifen, um die Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen.
Das Framework räumt Schweizer Personen, deren Daten an teilnehmende Unternehmen in den USA übermittelt werden, zudem bestimmte Rechte ein – beispielsweise den Zugang zu ihren Daten sowie die Berichtigung oder Löschung von unrichtigen oder rechtswidrig verarbeiteten Daten. Darüber hinaus bietet es Rechtsbehelfe für den Fall, dass Daten rechtswidrig behandelt werden.
Mehrwerte
Die Einführung des Swiss-US Data Privacy Frameworks ist für Schweizer Unternehmen, insbesondere für die ICT-Branche, von grosser Bedeutung, da es massgeblichen Mehrwert bietet:
Garantierte Rechtssicherheit: Unternehmen können sich darauf verlassen, dass der Datenaustausch mit den USA kosteneffizient und rechtlich abgesichert ist.
Vereinfachte Compliance-Vorgaben: Die Notwendigkeit, individuelle Risikoabschätzungen und zusätzliche Schutzmassnahmen bei Datentransfers durchzuführen, wird reduziert.
Gestärkte Wettbewerbsfähigkeit: Durch den erleichterten Datenaustausch können Schweizer Unternehmen ihre Geschäftsbeziehungen mit den USA effizienter gestalten.
Das neue Swiss-US Data Privacy Framework gewährleistet somit den sicheren, rechtskonformen und effizienten Datenaustausch zwischen der Schweiz und den USA.