Bilden die Schweiz und der Europäische Wirtschaftsraum (EWR) weiterhin einen gemeinsamen Datenraum mit freiem Datenverkehr?
Mit Entscheidung vom 26. Juli 2000 stellte die Europäische Kommission fest, dass in der Schweiz für Personendaten aus der Europäischen Union (EU) ein angemessenes Schutzniveau gewährleistet ist. Die Entscheidung erfolgte gemäss der damaligen EU-Datenschutz-Richtlinie 95/46/EG.
Dieser Angemessenheitsbeschlusses bedeutet, dass Personendaten zwischen der Schweiz und dem EWR ohne besondere Genehmigung übermittelt werden dürfen, obwohl die Schweiz aus EU-Sicht ein Drittland ist.
Mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlichte und verschärfte die EU ihr Datenschutzrecht. In der Folge prüft die EU-Kommission gemäss Art. 45 DSGVO erneut, ob das Datenschutzniveau in der Schweiz angemessen ist.
Ist das Datenschutzniveau in der Schweiz weiterhin angemessen?
Gemäss einer Meldung von Keystone-SDA soll sich die EU-Kommission frühestens am 3. Juni 2020 zum Ergebnis ihrer Prüfung äussern. Allerdings ist eher mit dem 10. Juni 2020 oder einem noch späteren Termin zu rechnen.
Das Ergebnis ist offen, da die Schweiz das Datenschutzgesetz (DSG) zwar revidiert (und dabei verschärft), das revidierte DSG aber frühestens Mitte 2021 in Kraft treten dürfte. In der Sommersession im Juni 2020 wird sich der Ständerat wieder mit der Revision befassen, wobei es nur noch um letzte Differenzen geht.
Gemäss Keystone-SDA gibt sich das Bundesamt für Justiz optimistisch:
«Nach unserer Ansicht wird damit ein dem europäischen Datenschutzstandard angemessenes Schutzniveau gewährleistet.»
Ohne bestehenden Angemessenheitsbeschluss müsste der Datenverkehr zwischen der Schweiz und dem EWR mit «geeigneten Garantien» im Einzelfall abgesichert werden, insbesondere mit Standarddatenschutzklauseln (Art. 46 DSGVO). Für Unternehmen und andere Verantwortliche in der Schweiz, die Daten von Personen im EWR bearbeiten, würde sich der bürokratische Aufwand erhöhen. Auch könnten Unternehmen in der Schweiz bei Kunden im EWR an Attraktivität verlieren.
Siehe auch: «Wird die EU die Äquivalenz der Schweizer Datenschutz-Gesetzgebung weiterhin anerkennen?» (Interpellation Fiala, 2018)
Wie wird sich die EU-Kommission verhalten?
Die EU-Kommission müsste nicht zwingend über die Angemessenheit des Datenschutzes in der Schweiz beschliessen.
Art. 45 Abs. 3 DSGVO sieht einerseits lediglich vor, dass die EU-Kommission beschliessen kann, das heisst nicht beschliessen muss. Andererseits sieht Art. 45 Abs. 5 DSGVO gar keine neuen Beschlüsse, sondern lediglich den Widerruf, die Änderung oder das Aussetzen von bestehenden Beschlüssen vor, sofern es die Kommission als nötig erachtet.
Denkbar wäre, dass die EU-Kommission einen neuen Angemessenheitsbeschluss erlässt, mit Blick auf die noch laufende Revision des schweizerischen Datenschutzrechts aber die nächste Überprüfung ankündigt, wie sie im Abstand von mindestens vier Jahren gemäss Art. 45 Abs. 3 DSGVO sowieso vorgesehen ist. Die EU-Kommission könnte aber auch auf einen formellen Beschluss vorläufig verzichten und stattdessen Hinweise geben, wo sie Verbesserungen erwartet, damit ihre künftigen Prüfungen weiterhin zum Ergebnis führen, dass der Datenschutz in der Schweiz angemessen ist.
Bild: Pixabay / Caniceus, Pixabay-Lizenz.
Nachtrag
Gemäss einem Tages-Anzeiger-Artikel ist mit einem neuen Angemessenheitsbeschluss zu rechnen:
«[…] Die EU-Kommission dürfte am 10. Juni oder eine Woche später den sogenannten Angemessenheitsbeschluss für den Schweizer Datenschutz erneuern. So signalisieren es EU-Kreise in Brüssel. […]»
Und:
«Die EU-Kommission habe geprüft, ob in der Schweiz ein vergleichbares Niveau beim Datenschutz herrsche, heisst es in Brüssel. […] Erwogen wurde bis zuletzt, ob der Angemessenheitsbeschluss mit einem Vorbehalt oder einer besonderen Überprüfungsklausel versehen werden soll, weil die Schweizer Revision noch nicht fertig beraten ist und möglicherweise ein Referendum für weitere Verzögerung sorgen könnte. […]»
Und weiter:
«An der Revision des Datenschutzgesetzes wird in der Schweiz seit bald neun Jahren gearbeitet. Zuerst hatte die Verwaltung das Projekt verzögert, danach das Parlament. Dieses hat es auch jetzt nicht eilig. Am Dienstag, dem ersten Tag der Sommersession, berät der Ständerat zum zweiten Mal über die Revision des Datenschutzes. Obwohl zwischen den Kammern nur noch wenige Differenzen bestehen, geht das Gesetz danach erst in der Herbstsession wieder in den Nationalrat. Bereinigt dürfte die Vorlage damit frühestens Ende September sein. In Kraft treten könnte das neue Gesetz im nächsten Jahr.