Die Übermittlung von Personendaten ins Ausland durch private Unternehmen oder Bundesorgane ist nur unter gewissen Voraussetzungen möglich. Es kommt darauf an, in welches Land die Daten übermittelt werden sollen, und es müssen – je nach Land – gewisse Vorkehrungen getroffen werden.
Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 16 Abs. 2 lit. b und d DSG)
Die vorliegende Anleitung soll Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von personenbezogenen Daten ins Ausland erleichtern. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland nach Art. 16 Abs. 2 lit. b und d DSG, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet*, und dieser Mangel durch Datenschutzklauseln in einem Vertrag oder Standarddatenklauseln kompensiert werden muss (vgl. auch Art. 9 Abs. 3 der Verordnung zum Bundesgesetz über den Datenschutz DSV, SR 235.11). Auf die Voraussetzungen nach lit. a, c und e und Art. 17 wird in dieser Anleitung nicht eingegangen.
* Zur Prüfung, ob das Land, in welches Daten übermittelt werden, einen angemessenen Datenschutz bietet, dient Anhang 1 DSV.
Weiterführende Informationen
- Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer
- Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten
- Standard contractual clauses for data transfers between EU and non-EU countries
Personendaten dürfen grundsätzlich nur ins Ausland übermittelt werden, wenn im Empfängerland ein angemessenes Datenschutzniveau besteht.
Angemessener Schutz durch eine Gesetzgebung im ausländischen Staat
So dürfen Daten ins Ausland bekannt gegeben werden, wenn die Gesetzgebung des Empfängerstaates einen angemessenen Schutz gewährleistet (Art. 16 Abs. 1 DSG). Welche Länder diese Voraussetzung erfüllen, wird vom Bundesrat festgelegt und im Anhang 1 der Datenschutzverordnung publiziert. Die Verordnung sagt auch, welche Kriterien der Bundesrat bei seiner Einschätzung anwendet (Art. 8 DSV). Ist ein angemessener Schutz gewährleistet, können Personendaten aus der Schweiz frei in diesen Staat übermittelt werden, sowohl durch private Unternehmen wie auch durch Bundesorgane.
Angemessener Schutz durch geeignete Garantien
Liegt kein solcher Angemessenheitsbeschluss vor, kann ein Transfer ins Ausland trotzdem zulässig sein, wenn der Datenschutz auf andere Weise sichergestellt wird. Dabei kommen insbesondere vertragliche Garantien zum Einsatz:
- Datenschutzklauseln in einem spezifischen Vertrag: Der Verantwortliche und sein Vertragspartner vereinbaren in ihrem Vertrag spezifische Datenschutzklauseln, die einen angemessenen Schutz der übermittelten Daten gewährleisten. Vor dem Transfer ins Ausland müssen diese Klauseln dem EDÖB mitgeteilt werden. Trotz Mitteilung bleibt die Verantwortung für den Nachweis, dass alle erforderlichen Massnahmen zum Schutz der Daten getroffen wurden, beim Verantwortlichen. Im Gegensatz zu den Standarddatenschutzklauseln gelten die Datenschutzklauseln in einem Vertrag nur für die Bekanntgabe, die im entsprechenden Vertrag vorgesehen ist.
- Standarddatenschutzklauseln: Standarddatenschutzklauseln können von Privaten, interessierten Kreisen oder Bundesorganen erarbeitet werden. Solche Klauseln müssen vorgängig vom EDÖB genehmigt werden. Es dürfen keine Daten ins Ausland bekanntgegeben werden, bis der EDÖB seinen Entscheid zu den Klauseln gefällt hat, ausser der Transfer kann sich auf einen anderen Rechtsgrund stützen. Der EDÖB entscheidet innerhalb von 90Tagen (Art. 10 Abs. 2 DSV). Standarddatenschutzklauseln können aber auch vom EDÖB selber ausgestellt oder anerkannt werden. Die Liste dieser Klauseln finden Sie in unserer Infothek. Die Verwendung solcher Klauseln muss dem EDÖB nicht gemeldet werden.
Auch Bundesorgane können auf diese Art von Garantien zurückgreifen.
- Verbindliche unternehmensinterne Datenschutzvorschriften: Eine Bekanntgabe von Daten an ein ausländisches Unternehmen, das zur selben Unternehmensgruppe wie der Verantwortliche gehört, kann auch gestützt auf verbindliche unternehmensinterne Datenschutzvorschriften («binding corporate rules», BCR) erfolgen. Diese müssen vorgängig durch den EDÖB oder durch eine ausländische Datenschutzbehörde eines Staates mit angemessenem Datenschutzniveau genehmigt worden sein. Sobald ein Entscheid des EDÖB vorliegt, können dann Daten gestützt auf unternehmensinterne Datenschutzvorschriften ins Ausland bekanntgegeben werden. Wurden die BCR bereits von einer ausländischen Datenschutzbehörde eines Staates mit angemessenem Schutz genehmigt (z.B. ein EU-Staat), braucht es keine separate Genehmigung des EDÖB mehr; sie können direkt befolgt werden.
Bei der Verwendung aller vertraglichen Garantien gilt:
- Der Verantwortliche muss sicherstellen, dass sich der Empfänger an die vereinbarten Klauseln hält und dass die Gesetzgebung des Drittlandes es dem Empfänger erlaubt, seinen Verpflichtungen nachzukommen;
- Es gilt die Vermutung, dass der Verantwortliche alle notwendigen Massnahmen getroffen hat, um sich eines angemessenen Schutzes zu vergewissern. Allerdings befreit ihn diese Vermutung nicht von der Haftung für Nachteile, die sich aus einer Verletzung dieser Klauseln insbesondere durch den Empfänger der Daten ergeben können;
- Da Datenschutzklauseln lediglich die Vertragsparteien binden, kann es im Einzelfall nötig sein, sie mit technischen Massnahmen zu ergänzen, wenn das für den Empfänger geltende Recht unverhältnismässige Behördenzugriffe erlaubt. (s. Anleitung zur Prüfung von Datenübermittlungen mit Auslandbezug);
Für Bundesorgane gibt es ausserdem die Möglichkeit, eine Zusage für eine Zusammenarbeit mit einem ausländischen Staat an spezifische Garantien für den Bereich des Datenschutzes zu knüpfen und gestützt darauf Personendaten in diesem Land zu übermitteln. Auch hier muss das Bundesorgan eine vorgängige Mitteilung an den EDÖB machen. Sobald der Verantwortliche dieser Pflicht nachgekommen ist, dürfen die Personendaten ins Ausland bekanntgegeben werden.
Ausserdem kann ein angemessener Datenschutz durch einen völkerrechtlichen Vertrag gewährleistet werden, z.B. die Konvention 108+ (s. Kapitel International);
Ausnahmen
Liegt kein Angemessenheitsbeschluss vor und kommt keines der oben beschriebenen Instrumente zum Einsatz, ist eine Übermittlung von Personendaten ins Ausland allenfalls unter den in Art. 17 DSG aufgezählten Ausnahmen zulässig.
Über eine Datenbekanntgabe ins Ausland muss die betroffene Person informiert werden (Art. 19 Abs. 4 DSG).
Mehr zur Informationspflicht
Strafbarkeit
Werden Daten ins Ausland bekanntgegeben, ohne dass die Voraussetzungen von Art. 16 und 17 DSG erfüllt sind, kann dies strafrechtliche Konsequenzen haben (Art. 61 lit. a DSG).
Verzeichnis
Die Länder und Garantien sind Pflichtangaben des Verzeichnisses der Bearbeitungstätigkeiten gemäss Art. 12 DSG.
Letzte Änderung 26.06.2024