BEKANNTGABE VON PERSONENDATEN
3.10
Grenzüberschreitende Bekanntgabe von Personendaten
Wenn Daten aus der Schweiz in andere Länder bekannt gegeben werden, gibt es einige besondere Bestimmungen zu beachten.
Datenbearbeitungen in der Schweiz und in den meisten europäischen Staaten unterstehen klaren, im weltweiten Vergleich strengen datenschutzrechtlichen Bestimmungen. Werden Personendaten aus der Schweiz in Länder weitergegeben, in denen kein entsprechendes Datenschutzniveau gilt, dann besteht die Gefahr, dass diese Daten in einer Weise genutzt werden, die nach dem schweizerischen oder europäischen Datenschutzrecht nicht zulässig ist. Damit besteht für die betroffenen Personen die Gefahr von Grundrechtsverletzungen.
Aus diesem Grund legt § 23 des Informations- und Datenschutzgesetzes (IDG) fest, dass Personendaten nur in jene Staaten bekanntgegeben werden dürfen, die der Europaratskonvention 108, künftig 108+, beigetreten sind, also in Staaten, die damit einen zum schweizerischen Datenschutzrecht vergleichbaren Schutz für die Grundrechte der betroffenen Personen gewährleisten. In andere Staaten dürfen Personendaten nur dann bekannt gegeben werden, wenn deren Gesetzgebung ebenfalls einen angemessenen Schutz sicherstellt oder wenn durch vertragliche Vereinbarungen zwischen dem datenliefernden öffentlichen Organ und den Empfängerinnen oder Empfängern ein angemessener Schutz garantiert wird. Welche Staaten durch Gesetzgebung einen angemessenen Schutz gewährleisten, hält eine Liste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (oder künftig des Bundesrates) fest.
Beim Datentransfer ins Ausland muss unterschieden werden zwischen der Übergabe von Personendaten vom verantwortlichen Organ an eine Auftragsdatenbearbeiterin (§ 7 IDG) einerseits und der Datenbekanntgabe in die eigene Verantwortung der Empfängerin andererseits. § 23 IDG gilt für den zweiten Fall, also bei der Bekanntgabe von Personendaten an eine Empfängerin, die sie dann zu einem eigenen Zweck und in eigener Verantwortung bearbeiten darf. Der erste Fall, die Auftragsbearbeitung, stellt keine Bekanntgabe im Sinne des IDG dar und damit gilt grundsätzlich auch § 23 IDG nicht. Denn die Auftragsdatenbearbeiterin darf die Daten zu dem Zweck bearbeiten, der vom auftraggebenden öffentlichen Organ vorgegeben ist – und dieses öffentliche Organ bleibt gegenüber den betroffenen Personen verantwortlich, auch für das, was die Auftragsdatenbearbeiterin tut und tun sollte, aber nicht tut. Damit werden die betroffenen Personen nicht schlechter gestellt, als wenn die Auftragsdatenbearbeitung in der Schweiz stattfinden würde. Bei der Übergabe der Daten an eine Auftragsdatenbearbeiterin im Ausland werden die Daten also zwar in einem anderen Land mit allenfalls weniger strenger Gesetzgebung bearbeitet, aber grundsätzlich dennoch nur nach dem Datenschutzniveau, welches auch für die Datenbearbeitung durch das bekanntgebende öffentliche Organ gilt. Auch wenn § 23 IDG auf die Übermittlung an eine Auftragsdatenbearbeiterin im Ausland nicht direkt anwendbar ist, müssen die Risiken der Datenübermittlung ins Ausland. beurteilt werden. Dazu sind die Risikoabwägungen analog zu den Kriterien von § 23 IDG hilfreich und können mit entsprechenden Schutzmassnahmen, zum Beispiel mit einer Verschlüsselung der Daten, vermieden oder auf ein tragbares Mass verringert werden.
Bekanntgabe von Personendaten in die USA
Für die Bekanntgabe von Personendaten in die USA bestanden in der Vergangenheit zwei Abkommen zwischen der EU-Kommission und den USA bzw. der Schweiz und den USA: das sogenannte «Safe Harbor»-Abkommen und das «Privacy Shield»-Framework. Der Europäische Gerichtshof (EuGH) hat allerdings bezüglich beider Abkommen festgestellt, dass sie trotz aller Bemühungen kein angemessenes Datenschutzniveau aus Sicht der EU schaffen. Die EuGH-Urteile binden die Schweiz zwar nicht, aber die Schweiz hat übereinstimmende Abkommen mit den USA abgeschlossen und muss wiederum auch gegenüber der EU auch ein angemessenes Datenschutzniveau aufweisen. Deshalb haben diese Urteile («Schrems-I und II») faktisch durchaus Auswirkungen auf die Zulässigkeit des Datentransfers von der Schweiz in die USA. Hier wird zu beobachten sein, wie sich Rechtssetzung und Rechtsprechung in Zukunft weiterentwickeln.