Aktuell

Europäische Datenschutz-Grundverordnung: Neue Rechtslage für Schweizer Exporteure

Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt seit 2018 die Verarbeitung von personenbezogenen Daten in der EU. Ein Gerichtsurteil weitet den Geltungsbereich nun auch auf Personendaten von EU-Bürgern aus, die in Drittländer transferiert werden. Dies kann für Schweizer KMU bereits bei der Zahlungsabwicklung über internationale Dienstleister oder der Nutzung von Cloud-Services der Fall sein.

datenschutz

Anlass dieses Urteils war der Rechtsstreit von M. Schrems mit der irischen Aufsichtsbehörde aufgrund der Übermittlung von Personendaten durch Facebook ohne Einwilligung von Irland zum Mutterkonzern, USA. Ein Aussetzen des Datentransfers durch Behörden ist möglich. Die Geldbusse bleibt abzuwarten.

Die Kernaussage:

  • Die DSGVO findet Anwendung in einem Drittland und in den USA, in dem es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch die Geheimdienste dieses Landes kommt. Gemäss DSGVO sind alle Länder ausserhalb der EU und des EWR sog. „Drittländer“, d.h. personenbezogene Daten dürfen nicht ohne Weiteres in diese Länder transferiert werden. Dazu könnte am 1.1.2021 auch UK gehören.
  • Das Privacy Shield der USA (Angemessenheitsbeschluss der EU Kommission: EU-adäquates Datenschutzniveau) ist ab sofort ungültig.
  • Die Standard Security Clauses (SSC) sind jedoch weiterhin gültig, ggfs. mit zusätzlichen Sicherheits-massnahmen. In einer Einzelfallprüfung durch den Datenimporteur/-Exporteur muss geprüft werden, ob im Zielland ein der EU gleichwertiges Datenschutzniveau besteht.

Zur internationalen Übermittlung von Personendaten zählen u.a. auch Kreditkartendaten (Onlineshop) und Daten in der Cloud.

Was bedeuten die Entscheide des EuGH für die Schweiz?

Der EuGH entscheidet nicht für die Schweiz. Aber, für exportorientierte Unternehmen in der Schweiz bedeutet dies, wie bereits auch vor Safe Harbor, dass sie Exporte von Personendaten aus der Schweiz oder Europa identifizieren und dokumentieren müssen, die sie in Drittstaaten ohne Angemessenheitsbeschluss transferieren. Hinzu kommt die Prüfung aller Datentransfers auf ein der EU gleichwertiges Datensicherheitsniveau, aber auch ob ein Datenzugriff auf Rechenzentren stattfinden kann und die Datentransfers innerhalb der gesamten Supply Chain.  

Festzustellen ist, ob Datentransfers nur auf dem Privacy Shield oder den SSC basieren oder ob ein anderer Rechtsgrund zur Anwendung kommt. Das Risiko ist eine Busse der Aufsichtsbehörde von max. 250‘000 CHF, die an den CEO adressiert wird und ein Strafregistereintrag, der 20 Jahre nicht löschbar ist.

Teilen
Wie sollen wir Sie kontaktieren?

Premium Partner

Strategische Partner

Institutioneller Partner

Official program