Mit dem neuen Datenschutzgesetz (DSG) per 1. September 2023 verfolgte die Schweiz unter anderem das Ziel, dass die Europäische Kommission weiterhin ein angemessenes Datenschutzniveau feststellt.
Dieses Ziel wurde erreicht, denn heute teilte die EU-Kommission mit, dass der Angemessenheitsbeschluss für die Schweiz auch unter der neuen Datenschutz-Grundverordnung (DSGVO) in Kraft bleibt. Der Beschluss stammt vom 26. Juli 2000 und damit aus den Zeiten der früheren europäischen Datenschutz-Richtlinie.
In der Folge können Personendaten zwischen dem Europäischen Wirtschaftsraum (EWR) und der Schweiz weiterhin im Sinn von Art. 45 DSGVO frei fliessen. Die Schweiz gilt als sicherer Drittstaat. Europäische Verantwortliche müssen den Daten-Export in die Schweiz nicht zusätzlich absichern.
In der Schweiz hatte der Bundesrat das Datenschutzniveau im EWR bereits im Rahmen der Staatenliste in der neuen Datenschutzverordnung (DSV) für angemessen erklärt.
Freier Datenverkehr: EU-Kommission bestätigt Angemessenheitsbeschlüsse für 11 Länder und Territorien
Die EU-Kommission schreibt in ihrer Medienmitteilung vom 15. Januar 2024 unter anderem Folgendes:
«Die Europäische Kommission hat heute ihre Überprüfung von elf Angemessenheitsbeschlüssen erfolgreich abgeschlossen. Diese Beschlüsse waren noch nach den der Datenschutz-Grundverordnung (DSGVO) vorausgehenden Datenschutzvorschriften der EU erlassen worden. Die Kommission stellt in ihrem Bericht fest, dass für personenbezogene Daten, die aus der Europäischen Union an Andorra, Argentinien, die Färöer, Guernsey, die Insel Man, Israel, Jersey, Kanada, Neuseeland, die Schweiz und Uruguay übermittelt werden, weiterhin angemessene Datenschutzgarantien bestehen. Deshalb bleiben die Angemessenheitsbeschlüsse für diese elf Länder und Gebiete in Kraft, und es gibt keine Beschränkungen für die Datenströme in diese Länder und Gebiete. Die Überprüfung hat ergeben, dass sich die datenschutzrechtlichen Rahmenbedingungen in diesen Ländern und Gebieten weiter an den EU-Rahmen angeglichen haben und der Schutz personenbezogener Daten verbessert wurde. Die DSGVO hat sich positiv ausgewirkt; so wurden etwa neue individuelle Rechte eingeführt, die Unabhängigkeit und die Befugnisse der für die Durchsetzung der Datenschutzvorschriften zuständigen Behörden gestärkt und die Vorschriften für internationale Datentransfers modernisiert.»
Und:
«Aus den Länderberichten geht hervor, dass die einzelnen Länder und Gebiete ihre Rechtsvorschriften zum Schutz der Privatsphäre seit dem Erlass der Angemessenheitsbeschlüsse im Rahmen der Datenschutzrichtlinie von 1995 einer umfassenden Modernisierung unterzogen haben. Sie haben ihre Rahmenbedingungen weiter an die DSGVO angeglichen oder zielgerichtete Reformen durchgeführt, mit denen die Garantien für personenbezogene Daten wesentlich gestärkt wurden. Diese Reformen sorgten beispielsweise dafür, dass die Datenschutzbehörden unabhängiger wurden und mehr Befugnisse zur Rechtsdurchsetzung erhielten. Um einige Lücken zum Datenschutzrahmen der EU zu schließen, haben einige Länder besondere Garantien eingeführt, mit denen der Schutz der Daten aus dem Europäischen Wirtschaftsraum verbessert und den Europäerinnen und Europäern die Wahrnehmung ihrer Rechte erleichtert wird. Die Überprüfung ergab auch, dass die Behörden in den elf Ländern und Gebieten in Bezug auf ihren Zugriff auf Daten – insbesondere für die Strafverfolgung oder die nationale Sicherheit – geeigneten Garantien unterliegen. Dazu gehören wirksame Aufsichts- und Beschwerdemechanismen.»
Und schliesslich:
«Die Kommission wird die Entwicklungen in den betreffenden Ländern und Gebieten weiter beobachten, insbesondere bei weiteren Gesetzesreformen. Nach der DSGVO ist die Kommission verpflichtet, die Angemessenheitsbeschlüsse regelmäßig zu überprüfen.»
Gibt es weiterhin freien Datenverkehr zwischen der EU und der Schweiz?
Länderbericht: Europäische Kommission lobt die Schweiz
In ihrem Länderbericht vom 15. Januar 2024 über die Schweiz lobt die EU-Kommission insbesondere das neue Datenschutzgesetz und die Ratifizierung der modernisierten europäischen Datenschutzkonvention (Konvention Nr. 108+):
«Die Kommission begrüßt die Entwicklungen im Rechtsrahmen der Schweiz seit der Annahme des Angemessenheitsbeschlusses, einschließlich der Gesetzesänderungen, der Rechtsprechung und der Tätigkeit der Aufsichtsgremien, die zu einem höheren Datenschutzniveau beigetragen haben, insbesondere das aktualisierte Bundesdatenschutzgesetz, das die Konvergenz mit dem EU-Datenschutzrahmen weiter erhöht hat, vor allem im Hinblick auf den Schutz sensibler Daten und die Regeln für die internationale Datenübermittlung. Darüber hinaus hat die Schweiz durch die Ratifizierung des modernisierten Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108+) im September 2023 auch ihre internationalen Verpflichtungen im Bereich des Datenschutzes gestärkt.»
Und:
«Für den Zugang von Behörden zu personenbezogenen Daten gelten in der Schweiz klare, eindeutige und zugängliche Regeln, nach denen staatliche Stellen für Ziele des öffentlichen Interesses, insbesondere für die Strafverfolgung und die nationale Sicherheit, auf aus der EU übermittelte Daten zugreifen und diese Daten nutzen können. Diese Beschränkungen und Garantien ergeben sich aus dem übergeordneten Rechtsrahmen und internationalen Verpflichtungen, insbesondere aus der Bundesverfassung der Schweizerischen Eidgenossenschaft, der EMRK und der Konvention 108+, sowie aus den Datenschutzbestimmungen der Schweiz, einschließlich des Bundesgesetzes über den Datenschutz, und besonderen Datenschutzvorschriften für die Strafverfolgung (z. B. Strafprozessordnung) und nationale Sicherheitsbehörden (z. B. Nachrichtendienstgesetz). Darüber hinaus sind im Recht der Schweiz für den Zugang zu personenbezogenen Daten und ihre Verwendung zu Zwecken der Strafverfolgung und der nationalen Sicherheit eine Reihe besonderer Beschränkungen sowie entsprechende Aufsichtsmechanismen und Rechtsbehelfe vorgesehen. »
Und schliesslich:
«Ausgehend von den Feststellungen, die in der Arbeitsunterlage der Kommissionsdienststellen insgesamt getroffen werden, kommt die Kommission zu dem Schluss, dass die Schweiz weiterhin ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten sicherstellt.»
«Netzwerkeffekt»: Politische und strategische Bedeutung der Angemessenheitsfeststellungen
Der Länderbericht ist Bestandteil des Berichts der Europäischen Kommission über die «erste Überprüfung der Wirkungsweise der Angemessenheitsfeststellungen gemäß Art. 25 Absatz 6 der Richtlinie 95/46/EG».
In ihrem Bericht Bericht erklärt die EU-Kommission ausführlich den Hintergrund und das Verfahren der Überprüfung, unter anderem:
«Gemäß dem Urteil des Gerichtshofs vom 6. Oktober 2015 in der Rechtssache Schrems I kann nicht verlangt werden, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet. Vielmehr ist unter angemessenem Schutzniveau die Gewährleistung eines Schutzniveaus zu verstehen, das dem in der Union garantierten Niveau der ‹Sache nach gleichwertig› ist. […] Die Angemessenheitsprüfung erfordert deshalb eine umfassende Bewertung des gesamten Systems des Drittlandes, einschließlich der Maßnahmen zum Schutz der Privatsphäre sowie ihrer wirksamen Umsetzung und Durchsetzung.»
Und:
«Darüber hinaus führte der Gerichtshof aus, dass sich die Bewertung durch die Kommission nicht auf den allgemeinen Datenschutzrahmen des Drittlandes beschränken, sondern auch die Vorschriften für den Zugang von Behörden zu personenbezogenen Daten, insbesondere zu Zwecken der Strafverfolgung und der nationalen Sicherheit, umfassen sollte.»
Und schliesslich:
«Darüber hinaus hat sich der Gerichtshof in seinem Urteil vom 16. Juli 2020 (Schrems II) näher zum Grundsatz der Gleichwertigkeit der Sache nach geäußert, insbesondere in Bezug auf die Vorschriften über den Zugang von Behörden zu personenbezogenen Daten zu Zwecken der Strafverfolgung und der nationalen Sicherheit. Der Grundsatz der Gleichwertigkeit der Sache nach bedeutet, so der Gerichtshof, dass die einschlägigen für die Behörden in den betreffenden Drittländern und Gebieten geltenden Rechtsrahmen Mindesterfordernisse enthalten, die gewährleisten, dass diese Behörden beim Zugang zu Daten nicht über das zur Erreichung legitimer Ziele erforderliche und verhältnismäßige Maß hinausgehen und dass die betroffenen Personen, deren Daten übermittelt werden, über wirksame und durchsetzbare Rechte gegenüber diesen Behörden verfügen.»
Die EU-Kommission betont in ihrem Bericht aber auch die politische und strategische Bedeutung der Angemessenheitsbeschlüsse bzw. Angemessenheitsfeststellungen:
«Die Achtung der Privatsphäre ist mehr denn je eine Voraussetzung für stabile, sichere und wettbewerbsfähige Handelsströme. Vor diesem Hintergrund spielen Angemessenheitsfeststellungen in vielerlei Hinsicht eine immer wichtigere Rolle. Schutz des Datenverkehrs bedeutet, dass Daten auch nach ihrer Übermittlung geschützt sind und dass die Rechte des Einzelnen im Einklang mit dem auf den Menschen ausgerichteten Ansatz der EU für den digitalen Wandel gewahrt werden. Mit der Angemessenheitsfeststellung wird bescheinigt, dass das Niveau des Datenschutzrahmens eines Drittlandes dem der EU der Sache nach gleichwertig ist, wodurch die Konvergenz der Datenschutzsysteme auf der Grundlage hoher Schutzstandards gefördert wird. Darüber hinaus sind Angemessenheitsfeststellungen, wie in diesem Bericht erläutert, nicht das Ergebnis, sondern vielmehr die Grundlage einer engeren Zusammenarbeit und einer weiteren regulatorischen Konvergenz zwischen der EU und gleichgesinnten Partnern.»
Und:
«Die Angemessenheitsfeststellungen haben den freien Verkehr personenbezogener Daten ermöglicht, was zur Öffnung des Handelsverkehrs für die Wirtschaftsbeteiligten in der EU (unter anderem durch die Ergänzung und Verstärkung der Vorteile von Handelsabkommen) und zur Erleichterung der Zusammenarbeit mit ausländischen Partnern in einem breiten Spektrum von Regulierungsbereichen geführt hat. Mit dieser unkomplizierten und umfassenden Lösung für die Übermittlung von Daten, bei der der Datenexporteur weder zusätzliche Garantien vorweisen noch eine Genehmigung einholen muss, wird die Einhaltung der internationalen Übermittlungsanforderungen der DSGVO insbesondere für kleine und mittlere Unternehmen erleichtert.»
Und weiter:
«Schließlich werden durch die Europäische Kommission erlassene Angemessenheitsfeststellungen aufgrund ihres ‹Netzwerkeffekts› auch über die EU hinaus immer wichtiger, da sie nicht nur den freien Datenverkehr mit den 30 Volkswirtschaften der EU ermöglichen, sondern auch mit vielen anderen Ländern und Gebieten auf der ganzen Welt, die in ihren eigenen Datenschutzvorschriften Länder als sichere Zielländer anerkennen, deren Schutzniveau von der EU als angemessen eingestuft wurde.»
Fazit:
«Aus all diesen Gründen sind Angemessenheitsfeststellungen zu einem strategischen Bestandteil der allgemeinen Beziehungen der EU zu diesen Partnerländern geworden und werden als wesentliche Voraussetzung für die Vertiefung der Zusammenarbeit in einem breiten Spektrum von Bereichen anerkannt. Dies wurde auch im Rahmen des dieser Überprüfung vorausgegangenen intensiven und konstruktiven Dialogs mit den betreffenden Drittländern/Gebieten bekräftigt. Es ist deshalb besonders wichtig, dass Angemessenheitsfeststellungen auf Dauer Bestand haben und neuen Entwicklungen und Herausforderungen gerecht werden.»
Nachtrag: Bundesamt für Justiz freut sich über Anerkennung durch EU-Kommission
In einer Medienmitteilung freut sich das Bundesamt für Justiz in der Schweiz, dass der freie Datenverkehr mit dem EWR weiterhin gewährleistet ist.
Das Bundesamt für Justiz schreibt unter anderem:
«Das Datenschutzrecht der Schweiz entspricht nach wie vor dem europäischen Standard. Dies hält die Europäische Kommission in ihrem Bericht vom 15. Januar 2024 fest. Personendaten können somit weiterhin ohne zusätzliche Garantien aus einem EU- oder EWR-Mitgliedstaat in die Schweiz übermittelt werden. Dies ist für den Wirtschaftsstandort und die Wettbewerbsfähigkeit der Schweiz von grosser Bedeutung.
Die Europäische Kommission hat am 15. Januar 2024 ihren Bericht über die Angemessenheit des Datenschutzniveaus von mehreren Drittstaaten veröffentlicht. Darin anerkennt sie, dass die Schweiz weiterhin ein angemessenes Schutzniveau für Personendaten bietet.
Personendaten aus einem Mitgliedstaat der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) können somit auch in Zukunft in die Schweiz übermittelt werden, ohne dass zusätzliche Garantien zur Sicherstellung eines ausreichenden Datenschutzniveaus erforderlich sind. Die unbürokratische grenzüberschreitende Datenübermittlung aus der EU oder aus dem EWR ist für den Schweizer Wirtschaftsstandort und die schweizerische Wettbewerbsfähigkeit zentral. Aufgrund der Tatsache, dass die EU der grösste Handelspartner der Schweiz ist, sind die Schweizer Unternehmen darauf angewiesen, dass die Zusammenarbeit reibungslos und ohne zusätzlichen Aufwand erfolgen kann. »
Bild: OpenAI / ChatGPT 4.
Die Fesstellungen der EU-Kommission in ihrem Bericht mögen richtig sein, wenn man in der Schweiz die Bundesebene und das neue DSG betrachtet. Betrachtet man den faktischen Datenschutz bzw. die Anwendung des Datenschutzrechts in den Verwaltungen von Gemeinden und (leider) teilweise von Kantonen, so sieht das anders aus. Dort wird kein angemessenes Datenschutzniveau gewährleistet.