Datenübermittlung in die USA: Ab 15. September 2024 gilt das CH-US DPF
Die Übermittlung von Personendaten ins Ausland ist seit dem Inkrafttreten des neuen Datenschutzgesetzes (DSG) am 1. September 2023 ohne zusätzliche Garantien möglich, wenn im Empfängerland ein angemessenes Datenschutzniveau besteht. Der Bundesrat beurteilt jeweils, welche Länder diese Anforderung erfüllen und publiziert eine Liste im Anhang 1 der Datenschutzverordnung (DSV).
Was ist passiert?
Nach langem Warten hat der Bundesrat an seiner Sitzung vom 14. August 2024 entschieden, die USA in die Liste der Staaten mit einem angemessenem Datenschutzniveau aufzunehmen (Anhang 1 zur Datenschutzverordnung) und zieht damit dem Angemessenheitsbeschluss der Europäischen Kommission vom Sommer 2023 nach. Grund für die lange Wartedauer war, dass die US-Generalbundesanwaltschaft zuerst die Angemessenheit des Schweizerischen Datenschutzes bestätigen musste, bevor der Bundesrat überhaupt einen Beschluss fassen konnte.
Was ist neu?
Die erleichterte Übermittlung von Personendaten in die USA gilt indessen nicht generell, sondern setzt voraus, dass der Empfänger der Daten über eine Zertifikation nach dem CH-U.S. Data Privacy Framework (DPF) verfügt. Dieses DPF ist notwendig, da die USA selbst über kein einheitliches Datenschutzrecht verfügt, welches als angemessen hätte eingestuft werden können. Ob ein Unternehmen über die genannte Zertifikation verfügt und für welche Datenkategorien diese genau vorliegt, muss unter www.dataprivacyframework.gov jeweils abgeklärt werden. Das DPF statuiert – wie zuvor das «Safe Harbor Framework» und «Privacy Shield» – Datenschutzgarantien, bei deren Verletzung Haftungsfolgen für die US-Unternehmen greifen. Auch bei einem Zugriff von amerikanischen Behörden auf die übermittelten Personendaten bestehen verschiedene Garantien, etwa ein Rechtsmittelweg. Das DPF CH-U.S. wird am 15. September 2024 in Kraft treten.
Was ist vorzukehren?
Liegt eine Zertifikation nach DPF vor, erübrigen sich zukünftig grundsätzlich weitergehende Massnahmen wie die Vereinbarung von Standardvertragsklauseln (SCC) und Transfer Impact Assessments (TIA). Bereits vereinbarte SCC oder anderweitige bestehende Abmachungen mit einem nunmehr zertifizierten US-Unternehmen müssen nicht, können zudem aber ergänzend beibehalten werden. Dies kann gar empfehlenswert sein, da diese bei einem möglichen Wegfall der Zertifizierung weiterbestehen. Vor dem Hintergrund zurzeit hängiger Klageverfahren gegen das EU-U.S. DPF (und dessen Einfluss auf das CH-U.S. DPF) wird sich zudem erst noch zeigen, wie beständig die geschaffenen Rahmenabkommen tatsächlich sind. Auch dann wird der Rückfall auf bereits vereinbarte SCC oder Abmachungen also von Vorteil sein. In jedem Fall ist der Abschluss einer Vereinbarung über die Datenübertragung zu empfehlen. Diese Vereinbarung sollte insbesondere festhalten, dass sich das US-Unternehmen zur Einhaltung des DPF verpflichtet und die Aufrechterhaltung der Zertifizierung zusichert. Für den Fall, dass es zu einem Verlust der Zertifizierung kommt, sind entsprechende Informationspflichten und Folgemassnahmen festzuschreiben.
Dr. Michael Hunziker, Dr. Simone Walther und MLaw Cécile Schmidlin unterstützen Sie gerne beim Thema Datenaustausch mit der USA sowie in sämtlichen Bereichen des Datenschutzrechts.