10/2024 – Fachartikel Swiss Infosec AG
Hintergrund
Nach den Schrems 1 (2015) und Schrems 2 (2020) -Urteilen durch den EuGH und der Ungültigerklärung des Safe Harbor-Abkommens und des Privacy Shield-Abkommens folgt nun das Data Privacy Framework (DPF) oder auch Trans-Atlantic Data Privacy Framework (TADPF) genannt. Das DPF wurde anfangs 2022 angekündigt und sollte in erster Linie die Lücken schliessen, die der EuGH mit dem Schrems 2-Urteil geschaffen hatte. Durch den EuGH wurden im Schrems 2-Urteil insbesondere zwei Punkte des US-Rechts kritisiert: einerseits fehlende bzw. ungenügende gesetzliche Grundlagen für staatliche Datenzugriffe und das Fehlen von wirksamen Rechtsbehelfen.
Der neue Datenschutzrahmen ermöglicht nun einen sicheren Austausch von Personendaten zwischen der Schweiz und den zertifizierten US-Unternehmen. Zu diesem Schluss kam der Bundesrat an seiner Sitzung vom 14. August 2024. Das CH-US DPF ist am 15.09.2024 in Kraft getreten. Dadurch erlangt die USA einen Platz auf der Liste der Länder mit einem angemessenen Datenschutzniveau (PDF-Download).
Was bedeutet das neue DPF für Ihr Unternehmen?
Vom CH-U.S. Data Privacy Framework erfasst werden nur Direkttransfers von Personendaten an US-Unternehmen, die sich im Rahmen eines Zertifizierungsmechanismus (hier zur Liste der Unternehmen) zur Einhaltung von bestimmten Datenschutzgrundsätzen verpflichtet haben. Ausschlaggebend für die Lokalität (USA) ist nicht die physische Übermittlung, sondern wo sich der Empfänger der Daten rechtlich befindet. Voraussetzung für eine Zertifizierung ist, dass das betreffende US-Unternehmen der Aufsicht der U.S. Federal Trade Commission oder des U.S. Department of Transportation unterliegt.
Eine Übermittlung von Personendaten in die USA an ein zertifiziertes US-Unternehmen bedarf keiner Standard Contractual Clauses (SCC) mehr oder sonstigen zusätzlichen Massnahmen zur Sicherstellung eines angemessenen Datenschutzes (Art. 16 Abs. 2 DSG / Art. 46 Abs. 1 DSGVO). Bereits bestehende und in Verträgen integrierte SCC können weiterverwendet werden. Auch Intra-Group-Datenübermittlungen können sich auf das DPF stützen, sofern das Unternehmen zertifiziert ist. Insoweit behalten auch konzerninterne Weisungen zum Umgang mit Personendaten ihre Gültigkeit. Unternehmen, die sich auf Binding Corporate Rules abstützen, haben insoweit auch keinen Handlungsbedarf.
Ein Transfer Impact Assessment (TIA) ist nicht mehr notwendig, soweit sich eine Übermittlung auf das DPF stützt.
Einige US-Unternehmen haben keine Zertifizierung für HR-Daten erlangt. In einem solchen Fall dürfen an diese US-Unternehmen keine Personaldaten auf Grundlage des DPF übermittelt werden. Ob eine entsprechende Zertifizierung vorliegt (HR/Non-HR) kann aus obiger Liste entnommen werden. CH- und EU- Unternehmen müssen daher vor der Übermittlung von Personaldaten an US-Unternehmen eine entsprechende Vorprüfung vornehmen.
Betreffend Datentransfers in die USA durch Bundesorgane und kantonale Behörden wird abzuwarten sein, wie die öffentlichen Organe mit dem neuen Framework umzugehen versuchen bzw. ob sie davon profitieren können.
Was gilt es weiterhin zu beachten?
Weiterhin muss die Rechtmässigkeit der Bearbeitung von Personendaten sichergestellt werden. Dies umfasst insbesondere die Beachtung der allgemeinen Datenbearbeitungsgrundsätze nach Art.6 ff. DSG / Art. 5 ff. DSGVO. Zudem sollten jegliche Datenschutzhinweise (Datenschutzerklärungen, Banner etc.) auf ihre Richtigkeit überprüft werden. Falls Datenübermittlungen in die USA gestützt auf das DPF stattfinden, muss darüber entsprechend informiert werden (Art. 19 Abs. 4 DSG / Art. 13 Abs. 1 lit. f DSGVO). Ferner gilt es zu beachten, dass die Datenbearbeitungsverzeichnisse gestützt auf Art. 12 DSG / Art. 30 DSGVO in Bezug auf den Angemessenheitsbeschluss und die Rechtsgrundlage angepasst werden müssen.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten in Sachen Datenschutz für Sie tun können: +41 41 984 12 12, infosec@infosec.ch
Swiss Infosec AG; 25.09.2024
Kompetenzzentrum Datenschutz