Bekanntgabe ins Ausland
Personendaten dürfen ins Ausland bekanntgegeben, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des entsprechenden Drittstaates einen angemessenen Datenschutz gewährleistet.
Der Bundesrat führt eine Länderliste, die als Anhang 1 der Datenschutzverordnung geführt wird.
Werden Daten in ein Land bekanntgegeben, das vom Bundesrat nicht als Land mit angemessenem Datenschutz eingestuft ist, darf die Bekanntgabe trotzdem in den entsprechenden Exportstaat bekanntgegeben werden, wenn ein geeigneter Datenschutz auf andere Weise gewährleistet wird, insbesondere durch:
- Völkerrechtlicher Vertrag;
- Datenschutzklauseln, die dem EDÖB vorgängig mitzuteilen sind;
- Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat;
- Verbindliche unternehmensinterne Datenschutzvorschriften - sog. Binding Corporate Rules -, die vorgängig vom EDÖB oder von einer anderen zuständigen Behörde, genehmigt wurde.
Die Standardvertragsklauseln der Europäischen Kommission (SCC) werden vom EDÖB als Grundlage für einen Datentransfer in ein Land ohne angemessenen Datenschutz anerkannt, sofern die für ein Verwendung unter Schweizer Datenschutzrecht notwendigen Anpassungen und Ergänzungen vorgenommen werden.
Ausnahmen:
Abweichend von den allgemeinen Grundsätzen (siehe allgemeine Beschreibung oben) dürfen Personendaten ins Ausland bekannt gegeben werden, wenn:
- Die betroffene Person ausdrücklich in die Bekanntgabe eingewilligt hat;
- Die Bekanntgabe in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht:
- zwischen dem Verantwortlichen und der betroffenen Person, oder
- *zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
- *Die Bekanntgabe notwendig für ist:
- die Wahrung eines überwiegenden öffentlichen Interesses, oder
- die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
- *Die Bekanntgabe notwendig ist, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
- Die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.
- Die Daten aus einem gesetzlich vorgesehenen Register stammen, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
*Auf Anfrage muss der EDÖB über die Bekanntgabe der Personendaten informiert werden.
Beispiel:
- Speicherung von Daten in einer Cloud, welche nicht ausschliesslich auf Servern in der Schweiz betrieben wird.
Weitere Informationen:
- Der Bundesrat führt eine Länderliste, die als Anhang 1 der Datenschutzverordnung geführt wird.
- Sämtliche EU- und EWR-Mitgliedstaaten gelten als Länder, die einen angemessenen Datenschutz gewährleisten.
- Die USA gilt als Land ohne angemessenen Datenschutz.
- Link zu den Standardvertragsklauseln der EU.
- Informationen des EDÖB: Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestütz auf anerkannte Standardvertragsklauseln und Musterverträge.