Ein datenschutzrechtlicher Meilenstein: Die EU hat anfangs dieser Woche beschlossen, dass die Schweiz über ein angemessenes Datenschutzniveau verfügt und somit Personendaten weiterhin frei aus der EU in die Schweiz exportiert werden können. Dieser Blogbeitrag erläutert, was die Erneuerung des Angemessenheitsbeschlusses, welcher noch aus Zeiten vor Inkrafttreten des neuen Schweizer Datenschutzgesetzes und auch vor Einführung der DSGVO stammte, im Einzelnen bedeutet und beantwortete die wichtigsten Fragen in diesem Kontext.

Am Montag, 15. Januar 2024, informierten sowohl die EU-Kommission als auch das Schweizer Bundesamt für Justiz über den positiven neuen Angemessenheitsbeschluss für den Schweizer Datenschutz. Neben der der Schweiz erhielten elf weiteren Länder und Territorien (Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland und Uruguay) einen positiven Bescheid.

Warum musste der Angemessenheitsbeschluss überhaupt erneuert werden?

Bereits vor dem neuen Beschluss hatte die EU der Schweiz ein angemessenes Datenschutzniveau attestiert. Allerdings stammte der frühere Beschluss aus dem Jahr 2000, also noch aus der Zeit vor dem Inkrafttreten der seit 2018 geltenden europäischen Datenschutzgrundverordnung (DSGVO). Entsprechend hatte die EU zu überprüfen, ob das Datenschutzniveau in der Schweiz auch unter den deutlich strengeren Anforderungen der DSGVO als angemessen eingestuft werden kann.

Und weshalb dauerte das so lange?

Bereits im Frühling 2019 hatte die EU angekündigt, die bestehenden Angemessenheitsbeschlüsse zu überprüfen. Dass diese Überprüfung für die Schweiz erst sechs Jahre nach der Einführung der DSGVO erfolgte, hat nicht primär mit der EU, sondern mit der Schweiz zu tun, die ihrerseits ihre Datenschutzregeln modernisiert hat. Die Revision des Schweizer Datenschutzgesetzes (DSG) war das Ergebnis einer hart umkämpften, langjährigen parlamentarischen Debatte. Im September 2023 ist das neue DSG in Kraft getreten, das unter anderem auf eine Angleichung an die verschärften EU-Datenschutzregeln und die Aufrechterhaltung des europäischen Angemessenheitsbeschlusses für die Schweiz abzielte. Im Sommer 2022 wurde vom Bundesrat das Inkrafttreten des DSG auf September 2023 beschlossen. Erst dann war mit anderen Worten gewiss, dass und mit welchen exakten Bestimmungen das neue Gesetz eingeführt werden würde. Und erst dann konnte die EU-Kommission diese neuen Regeln auf ihre Angemessenheit unter dem DSGVO-Regime prüfen.

Aus Sicht der EU dürfte die Überprüfung der Angemessenheitsbeschlüsse auch deshalb wohl länger als anfänglich geplant gedauert haben, weil Fragen, die in diesem Zusammenhang relevant sind, lange Zeit umstritten und Gegenstand gerichtlicher Klärungen durch den EuGH waren. In diesem Kontext insbesondere bedeutsam war der berühmte Schrems II-Entscheid, mit dem der EuGH im Sommer 2020 über die Angemessenheit des Datenschutzniveaus der USA zu urteilen hatte.

Was bedeutet der Angemessenheitsbeschluss für die Schweiz? Oder was hätte ein negativer Entscheid bedeutet?

Mit dem Angemessenheitsbeschluss attestiert die EU-Kommission der Schweiz ein – gemessen an den Massstäben der DSGVO – angemessenes Datenschutzniveau. Dies bedeutet aber nicht, dass die Regeln des Schweizer DSG mit der DSGVO übereinstimmen oder exakt dieselben strengen Standards gelten wie in der EU. In diesem Sinne nicht ganz präzis sind die in der aktuellen Medienberichterstattung zur Thematik häufig anzutreffenden Formulierungen, die EU habe den Datenschutz in der Schweiz als gleichwertig eingestuft.

Der Angemessenheitsbeschluss ist insbesondere für die Schweizer Wirtschaft von zentraler Bedeutung. Denn er ist die Basis dafür, dass die Schweiz aus Sicht der EU als Ganzes als sicherer Drittstaat gilt und Personendaten zwischen dem europäischen Raum und der Schweiz frei übermittelt werden dürfen (Art. 45 DSGVO).

Ohne einen solchen Angemessenheitsbeschluss wäre jeder Datenexport aus der EU in die Schweiz im Einzelfall durch zusätzliche Garantien abzusichern und damit ungleich aufwändiger. Es brächte dann unter anderem jeweils Einzelvereinbarungen oder Standardvertragsklauseln, welche den Schutz der betroffenen Personen angemessen sicherstellen (vgl. Art. 46 DSGVO). Bei besonders schutzwürdigen Personendaten wären zudem gegebenenfalls weitere Massnahmen (z.B. Anonymisierung, Verschlüsselung) nötig. In diesem Sinne ist der Angemessenheitsbeschluss essenziell für jegliche Beziehungen zwischen Akteuren in der Schweiz und Europa.

Und was gilt eigentlich umgekehrt?

Auch die Schweiz kennt analoge Mechanismen zur Sicherstellung eines angemessenen Schutzes bei der Übermittlung von Personendaten ins Ausland und fällt entsprechende Angemessenheitsbeschlüsse für ausländische Staaten (vgl. Art. 16 ff. DSG und Art. 8 ff. DSV). Auf der entsprechenden Liste der Länder, welche gemäss Einstufung der Schweiz über ein angemessenes Datenschutzniveau verfügen (vgl. Anhang 1 zur Datenschutzverordnung), finden sich auch die EU- und EWR-Staaten. Entsprechend gilt der freie Datenverkehr zwischen der Schweiz und den europäischen Ländern in beide Richtungen.