Datenübermittlung ins Ausland

Grenzüberschreitende Datenübermittlungen innerhalb multinationaler Unternehmen und Anmeldepflicht Während des letzten Geschäftsjahres wurden wir von vielen Gesellschaften angefragt, unter welchen Bedingungen sie ihre Daten ins Ausland übermitteln dürfen. Es handelte sich meistens um multinationale Unternehmen, welche im Rahmen von weltweiten Restrukturierungen, Nachfolgeplanung oder effizienter konzerninterner Stellenbesetzung Mitarbeiterdaten an den sich ausserhalb der Schweiz befindenden Hauptsitz oder an das Mutterhaus übermittelten.

Damit multinationale Unternehmen ihren Betrieb rational und effizient gestalten können, müssen Daten unter den verschiedenen Zweigstellen ausgetauscht werden. Von Bedeutung ist vor allem die Übermittlung der Daten der Mitarbeiter der Zweigstellen/Tochtergesellschaften an den Hauptsitz/Muttergesellschaft. Diese werden für die effiziente Einsetzung der im Unternehmen vorhandenen personellen Resourcen und für die optimale Nachfolgeplanung eingesetzt. Meistens handelt es sich um Personendaten des mittleren und höheren Kaders.

Grenzüberschreitende Datenflüsse können für die Persönlichkeit der betroffenen Personen, Gefahren bergen, insbesondere wegen der Unübersichtlichtkeit der Übermittlungen ins Ausland. Wenn die Daten einmal im Ausland sind, kann die betroffene Person ihre Rechte auf Einsicht oder Korrektur kaum mehr geltend machen, vor allem in Staaten ohne gleichwertigen Datenschutz und somit steigt die Gefahr, dass beispielsweise durch eine unerlaubte Datenbearbeitung oder durch die Bearbeitung von unkorrekten Daten eine Persönlichkeitsverletzung geschieht.

Aus diesen Gründen weisen wir auf die wesentliche Elemente hin, die bei Datenübermittlungen ins Ausland zu beachten sind:

Wer trägt die Verantwortung bei Datenübermittlungen ins Ausland ?

Das schweizerische Datenschutzgesetz sieht kein eigentliches Bewilligungsverfahren für Datenübermittlungen ins Ausland vor. Grundsätzlich dürfen Personendaten ins Ausland übermittelt werden, wenn dabei die Persönlichkeit der betroffenen Personen nicht schwerwiegend gefährdet wird. Der Gesetzgeber hat bewusst dem Übermittler die Verantwortung und die Beurteilung der Risiken einer Bekanntgabe von Personendaten ins Ausland überlassen.
Die für gewisse Übermittlungen ins Ausland vom Gesetz statuierte Meldepflicht befreit den Inhaber einer Datensammlung nicht von seiner Verantwortung für die Einhaltung der materiellen Regeln des Gesetzes. Der Inhaber muss genau gleich wie bei einer nicht meldepflichtigen Datensammlung das Risiko einer Persönlichkeitsverletzung selbst beurteilen.

Zweck der Meldepflicht

Mit der Meldung von Übermittlungen ins Ausland wird die Transparenz der Datenbearbeitung bezweckt. Der EDSB nimmt die Rechte der Personen, deren Personendaten ins Ausland übermittelt werden, ad interim wahr. Deshalb entfällt die Meldepflicht, wenn die betroffenen Personen von der Datenübermittlung Kenntnis haben.

Wann besteht die Pflicht zur Meldung einer Übermittlung ins Ausland?

  • Wenn die Datensammlung* das Hoheitsgebiet der Schweiz verlässt, oder
  • Daten vom Ausland aus abgerufen werden können, oder
  • Daten an einen Dritten übermittelt werden, der beauftragt ist, die Daten für Rechnung des Übermittlers zu bearbeiten

*Als Datensammlung gilt jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind.

Wesentlich ist, dass die Daten das Hoheitsgebiet der Schweiz verlassen und nicht, ob die Daten innerhalb einer Gesellschaft oder eines Konzerns übermittelt werden.

Wann muss eine Übermittlung nicht gemeldet werden ?

  • Wenn eine gesetzliche Pflicht für die Bekanntgabe besteht, oder
  • die betroffenen Personen von der Datenübermittlung Kenntnis* haben.

*Die Kenntnisnahme der betroffenen Personen ist gegeben, wenn mindestens der Inhaber der Datensammlung, die übermittelten Daten, der Zweck der Übermittlung an Dritte und das Land, in das die Daten übermittelt werden bekannt sind.

Ausnahmen von der Meldepflicht

  • Übermittlungen von Daten für nicht personenbezogene Zwecke (Statistik, Planung, Forschung) sind nicht meldepflichtig, sofern die Veröffentlichung der Resultate eine Identifizierung der betroffenen Personen nicht zulässt.
  • Übermittlungen von Daten in Länder mit einer gleichwertigen Datenschutzgesetzgebung sind nur dann nicht meldepflichtig, wenn es sich nicht um besonders schützenswerte Personendaten oder Persönlichkeitsprofile* handelt.

*Bei den Übermittlungen zwischen Betrieben und Konzernen zwecks effizienter Einsetzung der personellen Ressourcen handelt es sich um aussagekräftige Informationen, welche oft Persönlichkeitsprofile bilden.

Das Meldeverfahren

Falls eine Übermittlung ins Ausland meldepflichtig ist, müssen folgende Angaben gemacht werden (das notwendige Formular ist beim Sekretariat des ESDB kostenlos zu beziehen):

  • Name und Adresse der Person, welche die Personendaten bekanntgibt;
  • Name und Adresse des Datenempfängers;
  • Name und vollständige Bezeichnung der Datensammlung;
  • Kategorien der bekanntgegebenen Personendaten;
  • Kreis und ungefähre Anzahl der betroffenen Personen;
  • Zweck der Datenbearbeitung durch den Empfänger;
  • Art und Häufigkeit der Bekanntgabe;
  • Datum der ersten Bekanntgabe.

Im Gegensatz zu den anmeldungspflichtigen Datensammlungen werden gemeldete Übermittlungen ins Ausland nicht registriert und nicht veröffentlicht.

Bei Datenübermittlungen ins Ausland beachten Sie insbesondere folgende Punkte:

Ermitteln Sie zuerst die Rechtslage im Empfängerland.
Konsultieren Sie zuerst die Liste der Staaten mit einem dem schweizerischen gleichwertigen Datenschutz, welche der EDSB führt. Falls das Empfängerland nicht über einen gleichwertigen Datenschutz verfügt oder Unklarheit über die Rechtslage besteht, dann empfiehlt es sich, mit dem Empfänger eine vertragliche Vereinbarung zu treffen, um ein dem schweizerischen gleichwertiges Datenschutzniveau zu gewährleisten. In einer solchen Vereinbarung sollte mindestens folgendes geregelt werden:

  • Verbindliche und präzise Definierung des Verwendungszwecks;
  • Auskunftsrechte der betroffenen Personen;
  • Regelung der Datensicherheit anhand der Sensibilität der Daten
  • Folgen für den Fall, dass der Empfänger seine Verpflichtungen nicht einhält. (Schadenersatzpflicht oder Konventionalstrafe).
  • Vergewissern Sie sich, dass die Daten, die Sie übermitteln, richtig sind
  • Treffen Sie die notwendigen übermittlungstechnischen Massnahmen (Datensicherheit), um die Daten vor dem Zugriff Unbefugter oder vor Verlust zu schützen.

Der Europarat hat einen Mustervertrag erarbeitet, welcher für die Regelung des grenzüberschreitenden Datenverkehrs verwendet werden kann (siehe Anhang S. 106).

[Juli 1996]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/3--taetigkeitsbericht-1995-1996/datenuebermittlung-ins-ausland.html