Swiss-U.S. Data Privacy Framework Principles


Team Kompetenzen Services Bank- und Finanzrecht Bank- und Finanzrecht Asset Finance Kapitalmarktrecht Unternehmensfinanzierung Leveraged Finance Projekt-, Energie- und Infrastrukturfinanzierung Immobilienfinanzierung Restrukturierung und Insolvenz Strukturierte Produkte und Derivate Handels- und Exportfinanzierung Competition, Trade and Foreign Investment Competition, Trade and Foreign Investment Sanktionen und Exportkontrolle Baurecht und Architekten-/Ingenieurrecht Gesellschaftsrecht und M&A Gesellschaftsrecht und M&A Kapitalmarktrecht Corporate Governance Internationale Corporate Reorganisationen Joint Ventures Mergers & Acquisitions Private Equity Venture Capital Wirtschaftsstrafrecht und interne Ermittlungen Wirtschaftsstrafrecht und interne Ermittlungen Sanktionen und Exportkontrolle Behördliche Untersuchungen Data Privacy, Security und Technology Data Privacy, Security und Technology Cybersecurity Data Privacy Information Law Arbeitsrecht und betriebliche Altersversorgung Arbeitsrecht und betriebliche Altersversorgung Transaktionsarbeitsrecht Diversity, Gleichbehandlung und Diskriminierung Vergütungs- und Anreizsysteme Arbeitsrecht Arbeitsrechtliche Streitigkeiten Financial Services Regulation Versicherungsrecht Intellectual Property Streitbeilegung Streitbeilegung Wirtschaftsrechtliche Streitigkeiten Baurecht und Architekten-/Ingenieurrecht Energy Disputes Streitigkeiten und Ermittlungen im Finanzdienstleistungssektor Betrug Vergaberechtsstreitigkeiten Real Estate Disputes Behördliche Untersuchungen Private Client Private Client Family Office Dienstleistungen Real Estate and Planning Real Estate and Planning Corporate Real Estate Real Estate Disputes Immobilienfinanzierung Strategische Verträge Strategische Verträge Vertragsmodernisierung Outsourcing Strategische Partnerschaften Steuerrecht Industries Konsumgüter Konsumgüter Luxury Handel und Freizeit Energiewirtschaft Energiewirtschaft Hydrogen Financial Services Financial Services Firmenkundengeschäft und Investmentbankingrecht Private Equity Privatkundengeschäft und Verbraucherfinanzierung Governments und Infrastruktur Industrials Industrials Automobilindustrie Maschinenbau und produzierende Industrie Life Sciences und Healthcare Immobilienwirtschaft Immobilienwirtschaft Real Estate Investment Technologie, Medien und Telekommunikation Ressourcen Publikationen Client tools Events und Trainings Business topics Über uns Über uns Firm leadership Ziele und Werte Verantwortungsvolles Handeln Gemeinwohl Diversity & Inclusion Ökologische Nachhaltigkeit Pro Bono Pro Bono Alumni News Careers Karriere Applications Was uns auszeichnet Anwältinnen und Partnerinnen Business Professionals Studentinnen und Absolventinnen Standorte Tschechische Republik Globale Website besuchen Wählen Sie eine lokale Version der Website Angola Asien Belgien Bulgaria Deutschland Estland Finnland Frankreich Irak Irland Italien Jordanien Katar Lettland Litauen Luxemburg Mauritius Mozambique Niederlande Österreich Polen Portugal Rumänien Saudi-Arabien Schweden Schweiz Slowakei Spanien Südafrika Tschechische Republik Tunesien Ungarn Vereinigte Arabische Emirate Vereinigte Staaten von Amerika Vereinigtes Königreich Weltweit Weitere Länder de Menü Deutsch English Swiss-U.S. Data Privacy Framework Principles Home Ressourcen Publikationen Home Ressourcen Publikationen Swiss-U.S. Data Privacy Framework Principles Swiss-U.S. Data Privacy Framework Principles 23. September 2024 Schweiz Schweiz Schweiz Hintergrund Das Swiss-U.S. Data Privacy Framework ist die jüngste Entwicklung in einer Reihe von Initiativen, die darauf abzielen, sichere Datenübermittlungen zwischen der Schweiz und den Vereinigten Staaten zu erleichtern und gleichzeitig die Privatsphäre der Einzelpersonen zu schützen. Dieses Rahmenabkommen folgt auf frühere Vereinbarungen wie das Safe Harbor Framework, das im Jahr 2000 eingeführt wurde und es Unternehmen ermöglichte, personenbezogene Daten aus der Schweiz in die USA unter Einhaltung vereinbarter Datenschutzprinzipien zu übertragen. Allerdings wurde das Safe Harbor Framework 2015 vom Europäischen Gerichtshof aufgrund von Bedenken hinsichtlich unzureichender Datenschutzmassnahmen für ungültig erklärt. Dies führte zur Einführung des EU-U.S. Privacy Shield im Jahr 2016 und in der Folge zum Swiss-U.S. Privacy Shield, dass diese Probleme durch stärkere Verpflichtungen für US-Unternehmen, die personenbezogene Daten erhalten, und durch robustere Rechte für Einzelpersonen anzugehen versuchte. Trotz dieser Verbesserungen wurden die Privacy Shield-Rahmenwerke im Jahr 2020 ebenfalls für ungültig erklärt, da Bedenken bestanden, dass die US-Überwachungsgesetze keinen ausreichenden Schutz für den Datenschutz bieten. Als Reaktion darauf wurde das Swiss-U.S. Data Privacy Framework als ein robusterer Mechanismus eingeführt, der diese rechtlichen Herausforderungen durch die Einbeziehung strengerer Datenschutzprinzipien, verstärkter Aufsicht und stärkerer Durchsetzungsmassnahmen angeht. Dieser neue Rahmen soll sicherstellen, dass personenbezogene Daten, die von der Schweiz in die USA übertragen werden, ein gleichwertiges Schutzniveau geniessen wie in der Schweiz. Dadurch werden weiterhin transatlantische Datenflüsse ermöglicht und gleichzeitig die Privatsphäre der Einzelpersonen geschützt. Swiss-U.S. Data Privacy Framework im Kontext des DSG Das Swiss-U.S. Data Privacy Framework ist darauf ausgelegt, die sichere Übertragung personenbezogener Daten von der Schweiz in die Vereinigten Staaten zu erleichtern und gleichzeitig die Einhaltung der schweizerischen Datenschutzstandards gemäss dem FADP sicherzustellen. Der Rahmen soll ein Schutzniveau für personenbezogene Daten bieten, das den Schweizer Standards entspricht, und damit die Anforderungen von Artikel 16 DSG erfüllt, wonach Daten nur dann ins Ausland übertragen werden dürfen, wenn ein angemessener Schutz gewährleistet ist. Der Rahmen umfasst strenge Anforderungen an den Umgang mit Daten, Aufsichtsmechanismen und Durchsetzungsmassnahmen, die darauf abzielen, den Schweizer Erwartungen zu entsprechen, wodurch Übertragungen ohne zusätzliche Schutzmassnahmen wie spezifische Verträge oder andere Garantien möglich sind. Im Wesentlichen zielt das Swiss-U.S. Data Privacy Framework darauf ab, grenzüberschreitende Datenübertragungen zwischen der Schweiz und den USA zu vereinfachen, indem es die Prinzipien von Artikel 16 einhält und einen verlässlichen Mechanismus für den Datenschutz bietet, der in den meisten Fällen die Notwendigkeit zusätzlicher vertraglicher Schutzmassnahmen überflüssig macht. Gleichzeitig stellen die Ausnahmen in Artikel 17 DSG sicher, dass notwendige Übertragungen auch dann fortgesetzt werden können, wenn die Standard-Schutzmassnahmen nicht vollständig erfüllt sind, sofern bestimmte Bedingungen eingehalten werden. Dieser Rahmen zielt letztlich darauf ab, die US-Datenverarbeitungspraktiken mit den schweizerischen rechtlichen Anforderungen in Einklang zu bringen, um transatlantische Datenflüsse weiterhin zu unterstützen und gleichzeitig die Privatsphäre der Einzelpersonen zu schützen. Hauptprinzipien des Swiss-U.S. Data Privacy Framework Das Swiss-U.S. Data Privacy Framework führt mehrere Schlüsselprinzipien ein, die darauf abzielen, den Schutz personenbezogener Daten, die in die Vereinigten Staaten übertragen werden, zu verbessern. Der Rahmen soll US-Organisationen einen verlässlichen Mechanismus bieten, um personenbezogene Daten aus der Schweiz zu empfangen, während die Datenschutzrechte der Einzelpersonen gewahrt bleiben. Hier sind einige der wichtigsten Elemente: 1. Selbstzertifizierung und Compliance Um am Swiss-U.S. Data Privacy Framework teilzunehmen, müssen sich US-Organisationen jährlich beim US-Handelsministerium selbst zertifizieren. Diese Selbstzertifizierung bestätigt, dass sie die Prinzipien des Framework einhalten, die darauf abzielen, personenbezogene Daten, die von der Schweiz in die Vereinigten Staaten übertragen werden, zu schützen. Der Selbstzertifizierungsprozess umfasst: Öffentliche Verpflichtung: Organisationen müssen öffentlich erklären, dass sie sich zur Einhaltung der Prinzipien des Swiss-U.S. DPF verpflichten. Diese öffentliche Erklärung ist verbindlich und durch US-Recht durchsetzbar. Regulatorische Aufsicht: Organisationen müssen der Untersuchungs- und Durchsetzungsbefugnis der Federal Trade Commission (FTC), des Verkehrsministeriums (DOT) oder anderer gesetzlicher Stellen unterliegen, die die Einhaltung sicherstellen. Diese Aufsicht bietet einen Mechanismus zur Behebung von Verstössen, einschliesslich potenzieller Strafen oder Sanktionen. Transparenz in den Datenschutzrichtlinien: Organisationen sind verpflichtet, ihre Datenschutzrichtlinien öffentlich offenzulegen und sicherzustellen, dass diese mit den Prinzipien des Swiss-U.S. DPF übereinstimmen. Diese Transparenz hilft, das Vertrauen der Einzelpersonen zu stärken, deren Daten übertragen werden. Eine stets aktuelle Liste aller zertifizierten Unternehmen ist verfügbar unter: Data Privacy Framework Liste 2. Anforderungen an den Umgang mit Daten Das Swiss-U.S. DPF setzt strikte Richtlinien dafür, wie Organisationen personenbezogene Daten handhaben müssen, um den Datenschutz und die Datensicherheit zu gewährleisten: Benachrichtigung: Organisationen müssen Einzelpersonen über ihre Teilnahme am Framework informieren, über die Arten von personenbezogenen Daten, die sie sammeln, die Zwecke der Datenerfassung und wie Einzelpersonen die Organisation bei Anfragen oder Beschwerden kontaktieren können. Diese Benachrichtigung muss klar, deutlich und zum Zeitpunkt der ersten Bereitstellung personenbezogener Daten oder so bald wie möglich danach erfolgen. Wahlmöglichkeit: Organisationen müssen Einzelpersonen die Möglichkeit bieten, der Offenlegung ihrer personenbezogenen Daten an Dritte oder deren Verwendung für Zwecke, die sich wesentlich vom ursprünglichen Zweck der Erfassung unterscheiden, zu widersprechen. Für sensible Informationen ist eine ausdrückliche Zustimmung (Opt-in) erforderlich. Datenintegrität und Zweckbindung: Personenbezogene Daten müssen auf das für die Verarbeitungszwecke relevante Mass beschränkt werden, und Organisationen müssen angemessene Massnahmen ergreifen, um sicherzustellen, dass die Daten korrekt, vollständig und aktuell sind. Daten sollten nur so lange aufbewahrt werden, wie es für ihren beabsichtigten Zweck erforderlich ist. Sicherheit: Organisationen müssen angemessene und geeignete Sicherheitsmassnahmen implementieren, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Offenlegung, Änderung und Zerstörung zu schützen. Diese Massnahmen sollten die mit den Datenverarbeitungsaktivitäten verbundenen Risiken und die Art der personenbezogenen Daten berücksichtigen. 3. Rechenschaftspflicht für Weiterübermittlungen Wenn personenbezogene Daten an Dritte (z. B. Dienstleister, Subunternehmer) weitergegeben werden, muss die Organisation sicherstellen, dass diese Dritten denselben Schutzstandard einhalten, der durch die Prinzipien des Swiss-U.S. DPF gefordert wird: Vertragliche Verpflichtungen: Die übertragende Organisation muss mit Dritten einen Vertrag abschliessen, der festlegt, dass die Daten nur für begrenzte und festgelegte Zwecke verarbeitet werden und dass der Dritte denselben Schutzstandard bietet, der durch das Framework gefordert wird. Überwachung und Durchsetzung: Organisationen müssen angemessene und geeignete Massnahmen ergreifen, um sicherzustellen, dass Dritte die personenbezogenen Daten wirksam in Übereinstimmung mit den Prinzipien verarbeiten. Wenn ein Dritter diese Verpflichtungen nicht erfüllt, muss die übertragende Organisation Schritte unternehmen, um die unbefugte Verarbeitung zu stoppen und zu beheben. 4. Rechtsmittel, Durchsetzung und Haftung Um den wirksamen Schutz der Datenschutzrechte der Einzelpersonen zu gewährleisten, verlangt das Swiss-U.S. DPF von Organisationen, Rechtsmittelmechanismen bereitzustellen: Unabhängiger Rechtsmittelmechanismus: Organisationen müssen zugängliche, erschwingliche und unabhängige Mechanismen zur Beilegung von Streitigkeiten und Beschwerden bezüglich ihrer Datenverarbeitungspraktiken anbieten. Diese Mechanismen können die Zusammenarbeit mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder unabhängige Streitbeilegungsstellen in den USA oder der Schweiz umfassen. Überprüfung und Compliance-Monitoring: Organisationen müssen ihre Einhaltung der Prinzipien durch Selbstbewertung oder externe Prüfungen überprüfen. Sie müssen Aufzeichnungen über ihre Datenschutzpraktiken führen und diese auf Anfrage im Rahmen von Compliance-Untersuchungen oder Streitigkeiten bereitstellen. Haftung bei Nichteinhaltung: Organisationen haften für Schäden, wenn sie die Prinzipien nicht einhalten, auch in Fällen von unsachgemässen Weiterübermittlungen. Die Durchsetzung kann durch US-Behörden wie die FTC oder das DOT erfolgen, die gegen Organisationen wegen irreführender Praktiken im Zusammenhang mit ihrer Zertifizierung unter dem Framework vorgehen können. 5. Beschränkungen und Schutzmassnahmen Das Swiss-U.S. DPF enthält spezifische Beschränkungen und Schutzmassnahmen, um den Datenschutz mit anderen gesetzlichen Verpflichtungen in Einklang zu bringen: Ausnahmen: Es gibt begrenzte Ausnahmen, bei denen die Einhaltung der Prinzipien eingeschränkt sein kann, beispielsweise, wenn die Einhaltung erforderlich ist, um Anforderungen der nationalen Sicherheit, des öffentlichen Interesses oder der Strafverfolgung zu erfüllen. Diese Ausnahmen sind jedoch eng gefasst, um Missbrauch zu verhindern und sicherzustellen, dass die Datenschutzrechte nicht unangemessen eingeschränkt werden. Notwendigkeit und Verhältnismässigkeit: US-Organisationen sollen diese Ausnahmen nur im erforderlichen Umfang anwenden und müssen nachweisen, dass eine Nichteinhaltung der Prinzipien auf das notwendige Mindestmass beschränkt ist, um übergeordnete legitime Interessen zu wahren. Höhere Schutzstandards: Wenn möglich, werden Organisationen ermutigt, höhere Schutzstandards als die Mindestanforderungen zu wählen, insbesondere wenn das US-Recht oder die Prinzipien einen solchen Ermessensspielraum zulassen. Warum ist es für Schweizer Unternehmen wichtig? Das Swiss-U.S. Data Privacy Framework ist für Schweizer Unternehmen von entscheidender Bedeutung, da er einen verlässlichen und rechtlich konformen Mechanismus für die Übertragung personenbezogener Daten in die Vereinigten Staaten bietet, was für international tätige Unternehmen unerlässlich ist. Angesichts der globalen Natur des Handels müssen viele Schweizer Unternehmen Daten mit US-Partnern, Tochtergesellschaften oder Dienstleistern teilen. Ohne einen sicheren und anerkannten Rahmen könnten diese Datenübermittlungen rechtlichen Herausforderungen, Unterbrechungen oder potenziellen Geldstrafen ausgesetzt sein, insbesondere angesichts der strengen Datenschutzanforderungen unter Schweizer und EU-Recht. Durch die Einhaltung des Swiss-U.S. Data Privacy Framework können Schweizer Unternehmen sicherstellen, dass ihre Datenübertragungen den notwendigen Datenschutzstandards entsprechen, das Risiko der Nichteinhaltung reduzieren und reibungslose Geschäftsabläufe aufrechterhalten. Darüber hinaus trägt die Einhaltung des Swiss-U.S. Data Privacy Framework dazu bei, dass Schweizer Unternehmen das Vertrauen ihrer Kunden und Stakeholder aufbauen und aufrechterhalten, indem sie ihr Engagement für den Schutz personenbezogener Daten demonstrieren. In einer Ära, in der Datenschutzbedenken immer stärker in den Vordergrund rücken, unterstützt die Ausrichtung auf anerkannte Datenschutzrahmen nicht nur den rechtlichen Status, sondern stärkt auch den Ruf eines Unternehmens als verantwortungsvoller und vertrauenswürdiger Geschäftspartner. Dies ist besonders wichtig in Sektoren wie Finanzen, Gesundheitswesen und Technologie, in denen der Umgang mit sensiblen personenbezogenen Daten Routine ist und die Risiken für Datenschutzverletzungen hoch sind. Ratschläge zur Verwendung von Standardvertragsklauseln (SCCs) Während das Swiss-U.S. DPF einen neuen Mechanismus für Datenübertragungen bietet, bleibt die Verwendung von Standardvertragsklauseln eine praktikable und notwendige Option, um die Einhaltung des Datenschutzes zu gewährleisten, insbesondere in Szenarien, die nicht durch den Rahmen abgedeckt sind oder für den Fall, dass das Swiss-U.S. DPF durch eine Entscheidung des Gerichtshofs der Europäischen Union für ungültig erklärt wird. Hier sind die Gründe, warum und wie Sie weiterhin SCCs verwenden sollten: Zusätzliche Schutzschicht: SCCs bieten eine zusätzliche rechtliche Schutzschicht, indem sie die Rechte und Pflichten sowohl der Datenexporteure als auch der Datenimporteure in Bezug auf den Umgang mit Daten festlegen. Dies ist besonders wichtig bei komplexen Datenverarbeitungsketten, die mehrere Dritte einbeziehen. Flexibilität und breite Anwendbarkeit: SCCs sind anpassungsfähig und können für eine Vielzahl von Übertragungen verwendet werden, einschliesslich solcher, die nicht speziell durch das Swiss-U.S. DPF abgedeckt sind. Dies macht sie für Unternehmen mit vielfältigen Datenübertragungsbedürfnissen geeignet. Einhaltung breiterer Vorschriften: SCCs werden gemäss der EU-Datenschutz-Grundverordnung (DSGVO) anerkannt und sind ein bewährtes Instrument für internationale Datenübertragungen über die USA hinaus, was sie für den globalen Betrieb unerlässlich macht. Risikominderung: Durch die Integration von SCCs reduzieren Sie das Risiko der Nichteinhaltung und potenzieller Strafen im Zusammenhang mit Datenschutzverletzungen oder unsachgemässem Umgang mit personenbezogenen Daten, insbesondere in Regionen mit strengen Datenschutzgesetzen. Nächste Schritte Wir empfehlen, Ihre aktuellen Datenübertragungsvereinbarungen zu überprüfen, um sicherzustellen, dass sie den neuen Prinzipien des Swiss-U.S. DPF entsprechen. Wo angebracht, setzen Sie die Verwendung von SCCs fort oder implementieren Sie sie, um alle notwendigen Datenflüsse abzudecken und umfassenden Schutz für die personenbezogenen Daten Ihrer Kunden zu gewährleisten. Bitte zögern Sie nicht, unser Team zu kontaktieren, um weitere Unterstützung bei der Navigation durch diese neuen Vorschriften und der Optimierung Ihrer Datenübertragungspraktiken zu erhalten. Der Inhalt der Website dient ausschließlich allgemeinen Informationszwecken und kann die rechtliche Beratung im Einzelfall nicht ersetzen. Obwohl die Website mit angemessener Sorgfalt ausgearbeitet wurde, spiegeln die Inhalte möglicherweise nicht die aktuellen rechtlichen Entwicklungen wider. Daher übernimmt Eversheds Sutherland keine Haftung für die Richtigkeit und Aktualität der Informationen. Den vollständigen Haftungsausschuss finden Sie in unseren „Geschäftsbedingungen“ oder in „Rechtliche Hinweise“ in der Fußzeile. Services Data Privacy Data Privacy, Security und Technology Ansprechpartner Markus Näf Partner Zürich, Schweiz Carol Tissot Partnerin Genf, Schweiz Nils Müller Partner München, Deutschland \| Hamburg, Deutschland Publikationen legal updates legal updates podcasts and webcasts legal updates News client news Next stop, public ownership: Eversheds Sutherland advises DfT on GTR transition kanzlei-news Eversheds Sutherland strengthens restructuring offering with senior partner appointment kanzlei-news Eversheds Sutherland strengthens Commercial Advisory practice with technology partner hire client news Eversheds Sutherland advises Schroders Greencoat on acquisition of Dutch biomethane platform Events und Trainings virtual \| June 09, 2026 UK employment law training virtual \| June 16, 2026 Nordic (Denmark, Finland, Norway and Sweden) employment law training virtual \| June 23, 2026 Introduction to Swiss employment law virtual \| September 10, 2026 UAE - Employment law in the Dubai International Financial Centre Tabs Label legal updates 03. Juni 2026 legal updates 29. Mai 2026 podcasts and webcasts 29. Mai 2026 legal updates 28. Mai 2026 Rechtliche Hinweise Geschäftsbedingungen Datenschutz Cookie-Richtlinie LinkedIn Facebook YouTube Connect Kontakt Client Login Team Login Abonnieren Über uns Über uns Unternehmenswerte- und Ziele Responsible Business (CSR) Alumni Insights oder Publikationen Client-Tools Events und Trainings Business Topics Karriere Standorte © Eversheds Sutherland 2026. Alle Rechte vorbehalten. Eversheds Sutherland ist ein weltweiter Rechtsberatungsdienstleister, dessen Mitglieder gesonderte und rechtlich eigenständige Einheiten sind. Weitere Informationen zu diesen Unternehmen und der Struktur von Eversheds Sutherlands finden Sie auf der Seite „Rechtliche Hinweise“ dieser Website. Eversheds Sutherland bemüht sich mit größtmöglicher Sorgfalt, dass die Materialien, Informationen und Unterlagen, insbesondere, jedoch nicht abschließend, Artikel, Newsletter, Berichte und Blogs („Materialien“) auf der Eversheds Sutherland-Website zutreffend und vollständig sind. Die Materialien werden jedoch ausschließlich zu allgemeinen Informationszwecken und nicht zum Zwecke einer Rechtsberatung zur Verfügung gestellt, und spiegeln nicht unbedingt die aktuelle Gesetzeslage oder aktuelle Richtlinien wider. Die Materialien sind nicht als eine Rechtsberatung zu etwaigen Angelegenheiten auszulegen. Die Materialien bilden gegebenenfalls nicht die aktuellen rechtlichen Entwicklungen ab. Der Inhalt und die Auslegung der Materialien sowie die in den Materialien angesprochenen Gesetze unterliegen weiteren Prüfungen. In Bezug auf die Korrektheit oder Vollständigkeit der Materialien und somit in Bezug auf die Materialien wird keine ausdrückliche oder implizite Gewährleistung oder Garantie gegeben und auf diese sollte somit nicht vertraut werden. Eversheds Sutherland übernimmt im gesetzlich zulässigen Rahmen keinerlei Haftung im Hinblick auf Handlungen und Unterlassungen auf Basis von Inhalt(en) der Materialien. Die Materialien erheben keinen Anspruch auf Vollständigkeit und beabsichtigen nicht die Darstellung einer Beratung, auf die Sie sich verlassen können. Für konkrete rechtliche Angelegenheiten sollte stets eine qualifizierte (Rechts-) Anwältin oder ein qualifizierter (Rechts-) Anwalt zu Rate gezogen werden. Sämtliche in den Materialien ausgedrückten Ansichten spiegeln die Ansichten der jeweiligen Autorin oder des jeweiligen Autors und nicht unbedingt auch die Ansichten von Eversheds Sutherland oder einer sonstigen (Rechts-) Anwältin oder eines sonstigen (Rechts-) Anwalts wider.

Hintergrund

Das Swiss-U.S. Data Privacy Framework ist die jüngste Entwicklung in einer Reihe von Initiativen, die darauf abzielen, sichere Datenübermittlungen zwischen der Schweiz und den Vereinigten Staaten zu erleichtern und gleichzeitig die Privatsphäre der Einzelpersonen zu schützen. Dieses Rahmenabkommen folgt auf frühere Vereinbarungen wie das Safe Harbor Framework, das im Jahr 2000 eingeführt wurde und es Unternehmen ermöglichte, personenbezogene Daten aus der Schweiz in die USA unter Einhaltung vereinbarter Datenschutzprinzipien zu übertragen. Allerdings wurde das Safe Harbor Framework 2015 vom Europäischen Gerichtshof aufgrund von Bedenken hinsichtlich unzureichender Datenschutzmassnahmen für ungültig erklärt. Dies führte zur Einführung des EU-U.S. Privacy Shield im Jahr 2016 und in der Folge zum Swiss-U.S. Privacy Shield, dass diese Probleme durch stärkere Verpflichtungen für US-Unternehmen, die personenbezogene Daten erhalten, und durch robustere Rechte für Einzelpersonen anzugehen versuchte.

Trotz dieser Verbesserungen wurden die Privacy Shield-Rahmenwerke im Jahr 2020 ebenfalls für ungültig erklärt, da Bedenken bestanden, dass die US-Überwachungsgesetze keinen ausreichenden Schutz für den Datenschutz bieten. Als Reaktion darauf wurde das Swiss-U.S. Data Privacy Framework als ein robusterer Mechanismus eingeführt, der diese rechtlichen Herausforderungen durch die Einbeziehung strengerer Datenschutzprinzipien, verstärkter Aufsicht und stärkerer Durchsetzungsmassnahmen angeht. Dieser neue Rahmen soll sicherstellen, dass personenbezogene Daten, die von der Schweiz in die USA übertragen werden, ein gleichwertiges Schutzniveau geniessen wie in der Schweiz. Dadurch werden weiterhin transatlantische Datenflüsse ermöglicht und gleichzeitig die Privatsphäre der Einzelpersonen geschützt.

Swiss-U.S. Data Privacy Framework im Kontext des DSG

Das Swiss-U.S. Data Privacy Framework ist darauf ausgelegt, die sichere Übertragung personenbezogener Daten von der Schweiz in die Vereinigten Staaten zu erleichtern und gleichzeitig die Einhaltung der schweizerischen Datenschutzstandards gemäss dem FADP sicherzustellen.

Der Rahmen soll ein Schutzniveau für personenbezogene Daten bieten, das den Schweizer Standards entspricht, und damit die Anforderungen von Artikel 16 DSG erfüllt, wonach Daten nur dann ins Ausland übertragen werden dürfen, wenn ein angemessener Schutz gewährleistet ist. Der Rahmen umfasst strenge Anforderungen an den Umgang mit Daten, Aufsichtsmechanismen und Durchsetzungsmassnahmen, die darauf abzielen, den Schweizer Erwartungen zu entsprechen, wodurch Übertragungen ohne zusätzliche Schutzmassnahmen wie spezifische Verträge oder andere Garantien möglich sind.

Im Wesentlichen zielt das Swiss-U.S. Data Privacy Framework darauf ab, grenzüberschreitende Datenübertragungen zwischen der Schweiz und den USA zu vereinfachen, indem es die Prinzipien von Artikel 16 einhält und einen verlässlichen Mechanismus für den Datenschutz bietet, der in den meisten Fällen die Notwendigkeit zusätzlicher vertraglicher Schutzmassnahmen überflüssig macht. Gleichzeitig stellen die Ausnahmen in Artikel 17 DSG sicher, dass notwendige Übertragungen auch dann fortgesetzt werden können, wenn die Standard-Schutzmassnahmen nicht vollständig erfüllt sind, sofern bestimmte Bedingungen eingehalten werden. Dieser Rahmen zielt letztlich darauf ab, die US-Datenverarbeitungspraktiken mit den schweizerischen rechtlichen Anforderungen in Einklang zu bringen, um transatlantische Datenflüsse weiterhin zu unterstützen und gleichzeitig die Privatsphäre der Einzelpersonen zu schützen.

Hauptprinzipien des Swiss-U.S. Data Privacy Framework

Das Swiss-U.S. Data Privacy Framework führt mehrere Schlüsselprinzipien ein, die darauf abzielen, den Schutz personenbezogener Daten, die in die Vereinigten Staaten übertragen werden, zu verbessern. Der Rahmen soll US-Organisationen einen verlässlichen Mechanismus bieten, um personenbezogene Daten aus der Schweiz zu empfangen, während die Datenschutzrechte der Einzelpersonen gewahrt bleiben. Hier sind einige der wichtigsten Elemente:

1. Selbstzertifizierung und Compliance

Um am Swiss-U.S. Data Privacy Framework teilzunehmen, müssen sich US-Organisationen jährlich beim US-Handelsministerium selbst zertifizieren. Diese Selbstzertifizierung bestätigt, dass sie die Prinzipien des Framework einhalten, die darauf abzielen, personenbezogene Daten, die von der Schweiz in die Vereinigten Staaten übertragen werden, zu schützen. Der Selbstzertifizierungsprozess umfasst:

Öffentliche Verpflichtung: Organisationen müssen öffentlich erklären, dass sie sich zur Einhaltung der Prinzipien des Swiss-U.S. DPF verpflichten. Diese öffentliche Erklärung ist verbindlich und durch US-Recht durchsetzbar.
Regulatorische Aufsicht: Organisationen müssen der Untersuchungs- und Durchsetzungsbefugnis der Federal Trade Commission (FTC), des Verkehrsministeriums (DOT) oder anderer gesetzlicher Stellen unterliegen, die die Einhaltung sicherstellen. Diese Aufsicht bietet einen Mechanismus zur Behebung von Verstössen, einschliesslich potenzieller Strafen oder Sanktionen.
Transparenz in den Datenschutzrichtlinien: Organisationen sind verpflichtet, ihre Datenschutzrichtlinien öffentlich offenzulegen und sicherzustellen, dass diese mit den Prinzipien des Swiss-U.S. DPF übereinstimmen. Diese Transparenz hilft, das Vertrauen der Einzelpersonen zu stärken, deren Daten übertragen werden.

Eine stets aktuelle Liste aller zertifizierten Unternehmen ist verfügbar unter: Data Privacy Framework Liste

2. Anforderungen an den Umgang mit Daten

Das Swiss-U.S. DPF setzt strikte Richtlinien dafür, wie Organisationen personenbezogene Daten handhaben müssen, um den Datenschutz und die Datensicherheit zu gewährleisten:

Benachrichtigung: Organisationen müssen Einzelpersonen über ihre Teilnahme am Framework informieren, über die Arten von personenbezogenen Daten, die sie sammeln, die Zwecke der Datenerfassung und wie Einzelpersonen die Organisation bei Anfragen oder Beschwerden kontaktieren können. Diese Benachrichtigung muss klar, deutlich und zum Zeitpunkt der ersten Bereitstellung personenbezogener Daten oder so bald wie möglich danach erfolgen.
Wahlmöglichkeit: Organisationen müssen Einzelpersonen die Möglichkeit bieten, der Offenlegung ihrer personenbezogenen Daten an Dritte oder deren Verwendung für Zwecke, die sich wesentlich vom ursprünglichen Zweck der Erfassung unterscheiden, zu widersprechen. Für sensible Informationen ist eine ausdrückliche Zustimmung (Opt-in) erforderlich.
Datenintegrität und Zweckbindung: Personenbezogene Daten müssen auf das für die Verarbeitungszwecke relevante Mass beschränkt werden, und Organisationen müssen angemessene Massnahmen ergreifen, um sicherzustellen, dass die Daten korrekt, vollständig und aktuell sind. Daten sollten nur so lange aufbewahrt werden, wie es für ihren beabsichtigten Zweck erforderlich ist.
Sicherheit: Organisationen müssen angemessene und geeignete Sicherheitsmassnahmen implementieren, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Offenlegung, Änderung und Zerstörung zu schützen. Diese Massnahmen sollten die mit den Datenverarbeitungsaktivitäten verbundenen Risiken und die Art der personenbezogenen Daten berücksichtigen.

3. Rechenschaftspflicht für Weiterübermittlungen

Wenn personenbezogene Daten an Dritte (z. B. Dienstleister, Subunternehmer) weitergegeben werden, muss die Organisation sicherstellen, dass diese Dritten denselben Schutzstandard einhalten, der durch die Prinzipien des Swiss-U.S. DPF gefordert wird:

Vertragliche Verpflichtungen: Die übertragende Organisation muss mit Dritten einen Vertrag abschliessen, der festlegt, dass die Daten nur für begrenzte und festgelegte Zwecke verarbeitet werden und dass der Dritte denselben Schutzstandard bietet, der durch das Framework gefordert wird.
Überwachung und Durchsetzung: Organisationen müssen angemessene und geeignete Massnahmen ergreifen, um sicherzustellen, dass Dritte die personenbezogenen Daten wirksam in Übereinstimmung mit den Prinzipien verarbeiten. Wenn ein Dritter diese Verpflichtungen nicht erfüllt, muss die übertragende Organisation Schritte unternehmen, um die unbefugte Verarbeitung zu stoppen und zu beheben.

4. Rechtsmittel, Durchsetzung und Haftung

Um den wirksamen Schutz der Datenschutzrechte der Einzelpersonen zu gewährleisten, verlangt das Swiss-U.S. DPF von Organisationen, Rechtsmittelmechanismen bereitzustellen:

Unabhängiger Rechtsmittelmechanismus: Organisationen müssen zugängliche, erschwingliche und unabhängige Mechanismen zur Beilegung von Streitigkeiten und Beschwerden bezüglich ihrer Datenverarbeitungspraktiken anbieten. Diese Mechanismen können die Zusammenarbeit mit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder unabhängige Streitbeilegungsstellen in den USA oder der Schweiz umfassen.
Überprüfung und Compliance-Monitoring: Organisationen müssen ihre Einhaltung der Prinzipien durch Selbstbewertung oder externe Prüfungen überprüfen. Sie müssen Aufzeichnungen über ihre Datenschutzpraktiken führen und diese auf Anfrage im Rahmen von Compliance-Untersuchungen oder Streitigkeiten bereitstellen.
Haftung bei Nichteinhaltung: Organisationen haften für Schäden, wenn sie die Prinzipien nicht einhalten, auch in Fällen von unsachgemässen Weiterübermittlungen. Die Durchsetzung kann durch US-Behörden wie die FTC oder das DOT erfolgen, die gegen Organisationen wegen irreführender Praktiken im Zusammenhang mit ihrer Zertifizierung unter dem Framework vorgehen können.

5. Beschränkungen und Schutzmassnahmen

Das Swiss-U.S. DPF enthält spezifische Beschränkungen und Schutzmassnahmen, um den Datenschutz mit anderen gesetzlichen Verpflichtungen in Einklang zu bringen:

Ausnahmen: Es gibt begrenzte Ausnahmen, bei denen die Einhaltung der Prinzipien eingeschränkt sein kann, beispielsweise, wenn die Einhaltung erforderlich ist, um Anforderungen der nationalen Sicherheit, des öffentlichen Interesses oder der Strafverfolgung zu erfüllen. Diese Ausnahmen sind jedoch eng gefasst, um Missbrauch zu verhindern und sicherzustellen, dass die Datenschutzrechte nicht unangemessen eingeschränkt werden.
Notwendigkeit und Verhältnismässigkeit: US-Organisationen sollen diese Ausnahmen nur im erforderlichen Umfang anwenden und müssen nachweisen, dass eine Nichteinhaltung der Prinzipien auf das notwendige Mindestmass beschränkt ist, um übergeordnete legitime Interessen zu wahren.
Höhere Schutzstandards: Wenn möglich, werden Organisationen ermutigt, höhere Schutzstandards als die Mindestanforderungen zu wählen, insbesondere wenn das US-Recht oder die Prinzipien einen solchen Ermessensspielraum zulassen.

Warum ist es für Schweizer Unternehmen wichtig?

Das Swiss-U.S. Data Privacy Framework ist für Schweizer Unternehmen von entscheidender Bedeutung, da er einen verlässlichen und rechtlich konformen Mechanismus für die Übertragung personenbezogener Daten in die Vereinigten Staaten bietet, was für international tätige Unternehmen unerlässlich ist. Angesichts der globalen Natur des Handels müssen viele Schweizer Unternehmen Daten mit US-Partnern, Tochtergesellschaften oder Dienstleistern teilen. Ohne einen sicheren und anerkannten Rahmen könnten diese Datenübermittlungen rechtlichen Herausforderungen, Unterbrechungen oder potenziellen Geldstrafen ausgesetzt sein, insbesondere angesichts der strengen Datenschutzanforderungen unter Schweizer und EU-Recht. Durch die Einhaltung des Swiss-U.S. Data Privacy Framework können Schweizer Unternehmen sicherstellen, dass ihre Datenübertragungen den notwendigen Datenschutzstandards entsprechen, das Risiko der Nichteinhaltung reduzieren und reibungslose Geschäftsabläufe aufrechterhalten.

Darüber hinaus trägt die Einhaltung des Swiss-U.S. Data Privacy Framework dazu bei, dass Schweizer Unternehmen das Vertrauen ihrer Kunden und Stakeholder aufbauen und aufrechterhalten, indem sie ihr Engagement für den Schutz personenbezogener Daten demonstrieren. In einer Ära, in der Datenschutzbedenken immer stärker in den Vordergrund rücken, unterstützt die Ausrichtung auf anerkannte Datenschutzrahmen nicht nur den rechtlichen Status, sondern stärkt auch den Ruf eines Unternehmens als verantwortungsvoller und vertrauenswürdiger Geschäftspartner. Dies ist besonders wichtig in Sektoren wie Finanzen, Gesundheitswesen und Technologie, in denen der Umgang mit sensiblen personenbezogenen Daten Routine ist und die Risiken für Datenschutzverletzungen hoch sind.

Ratschläge zur Verwendung von Standardvertragsklauseln (SCCs)

Während das Swiss-U.S. DPF einen neuen Mechanismus für Datenübertragungen bietet, bleibt die Verwendung von Standardvertragsklauseln eine praktikable und notwendige Option, um die Einhaltung des Datenschutzes zu gewährleisten, insbesondere in Szenarien, die nicht durch den Rahmen abgedeckt sind oder für den Fall, dass das Swiss-U.S. DPF durch eine Entscheidung des Gerichtshofs der Europäischen Union für ungültig erklärt wird. Hier sind die Gründe, warum und wie Sie weiterhin SCCs verwenden sollten:

Zusätzliche Schutzschicht: SCCs bieten eine zusätzliche rechtliche Schutzschicht, indem sie die Rechte und Pflichten sowohl der Datenexporteure als auch der Datenimporteure in Bezug auf den Umgang mit Daten festlegen. Dies ist besonders wichtig bei komplexen Datenverarbeitungsketten, die mehrere Dritte einbeziehen.
Flexibilität und breite Anwendbarkeit: SCCs sind anpassungsfähig und können für eine Vielzahl von Übertragungen verwendet werden, einschliesslich solcher, die nicht speziell durch das Swiss-U.S. DPF abgedeckt sind. Dies macht sie für Unternehmen mit vielfältigen Datenübertragungsbedürfnissen geeignet.
Einhaltung breiterer Vorschriften: SCCs werden gemäss der EU-Datenschutz-Grundverordnung (DSGVO) anerkannt und sind ein bewährtes Instrument für internationale Datenübertragungen über die USA hinaus, was sie für den globalen Betrieb unerlässlich macht.
Risikominderung: Durch die Integration von SCCs reduzieren Sie das Risiko der Nichteinhaltung und potenzieller Strafen im Zusammenhang mit Datenschutzverletzungen oder unsachgemässem Umgang mit personenbezogenen Daten, insbesondere in Regionen mit strengen Datenschutzgesetzen.

Nächste Schritte

Wir empfehlen, Ihre aktuellen Datenübertragungsvereinbarungen zu überprüfen, um sicherzustellen, dass sie den neuen Prinzipien des Swiss-U.S. DPF entsprechen. Wo angebracht, setzen Sie die Verwendung von SCCs fort oder implementieren Sie sie, um alle notwendigen Datenflüsse abzudecken und umfassenden Schutz für die personenbezogenen Daten Ihrer Kunden zu gewährleisten.

Bitte zögern Sie nicht, unser Team zu kontaktieren, um weitere Unterstützung bei der Navigation durch diese neuen Vorschriften und der Optimierung Ihrer Datenübertragungspraktiken zu erhalten.

Der Inhalt der Website dient ausschließlich allgemeinen Informationszwecken und kann die rechtliche Beratung im Einzelfall nicht ersetzen. Obwohl die Website mit angemessener Sorgfalt ausgearbeitet wurde, spiegeln die Inhalte möglicherweise nicht die aktuellen rechtlichen Entwicklungen wider. Daher übernimmt Eversheds Sutherland keine Haftung für die Richtigkeit und Aktualität der Informationen. Den vollständigen Haftungsausschuss finden Sie in unseren „Geschäftsbedingungen“ oder in „Rechtliche Hinweise“ in der Fußzeile.