Ein wichtiges Ziel des neuen Schweizer Bundesgesetzes über den Datenschutz (Datenschutzgesetz – DSG) war es, den Datenfluss mit der EU weiterhin zu gewährleisten und damit die wirtschaftlichen Möglichkeiten in der Union für Schweizer Unternehmen zu erhalten. Am 15. Januar 2024 beschloss die EU-Kommission nun, dass die Schweiz weiterhin über ein angemessenes Datenschutzniveau verfügt. Somit können Personendaten weiterhin frei aus der EU/EWR in die Schweiz exportiert werden.
Erfordernis der Überprüfung des DSG
Der frühere Angemessenheitsbeschluss für den Schweizer Datenschutz stammt aus dem Jahr 2000. Damals diente die frühere Datenschutzrichtlinie (95/46/EG) als Grundlage für die Überprüfung eines Angemessenheitsbeschluss. Nach Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 wurde eine Neubeurteilung der Angemessenheit des Datenschutzniveaus mehrerer Drittstaaten erforderlich, darunter eben auch der Schweiz. Die EU-Kommission hatte nun zu prüfen, ob das Datenschutzniveau in der Schweiz auch unter den deutlich strengeren Anforderungen der DSGVO als angemessen eingestuft werden kann.
Dass die Anerkennung durch die EU so lange dauerte, hat mehrere Gründe. Das lag zum einen an der langjährigen Revision des Schweizer Datenschutzrechts, da das neue DSG erst im September 2023 in Kraft trat. Zum anderen kann man wohl annehmen, dass die EU-Kommission die Entscheide des Europäischen Gerichtshof (EuGH) im Schrems-II-Urteil abwarten wollte, bevor sie über die Gleichwertigkeit des Datenschutzes in anderen Staaten entscheidet.
Die DSGVO erfordert zudem, dass die EU-Kommission die Entwicklungen in Drittländern, wie der Schweiz, fortlaufend überwachen muss, um die Wirkungsweise der erlassenen Beschlüsse zu gewährleisten. Auf der Grundlage von Art. 97 DSGVO muss die EU-Kommission die Angemessenheitsbeschlüsse alle vier Jahre überprüfen.
Gegenstand der Überprüfung des Schweizer Datenschutzrechts
Mit dem Angemessenheitsbeschluss attestiert die EU-Kommission der Schweiz ein (gemessen an den Massstäben der DSGVO angemessenes Schutzniveau, das dem in der EU garantierten Niveau «der Sache nach» gleichwertig ist. Es wird demnach nicht verlangt, dass die Schweiz ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet. Dennoch erfordert die Angemessenheitsprüfung eine umfassende Bewertung des gesamten Systems der Schweiz, einschliesslich der Massnahmen zum Schutz der Privatsphäre sowie ihrer wirksamen Umsetzung und Durchsetzung. Demnach waren nicht nur allgemeine Datenschutzvorschriften Gegenstand der Überprüfung, sondern auch die Vorschriften für den Zugang von Behörden zu personenbezogenen Daten.
Für die Schweiz waren es insbesondere die Entwicklungen im Rechtsrahmen, einschliesslich der Gesetzesänderungen, der Rechtsprechung und der Tätigkeit der Aufsichtsgremien, die zu einem höheren Datenschutzniveau beigetragen haben. Darüber hinaus stellte die EU-Kommission fest, dass in der Schweiz für den Zugang zu personenbezogenen Daten und ihre Verwendung zu Zwecken der Strafverfolgung und der nationalen Sicherheit eine Reihe besonderer Beschränkungen sowie entsprechende Aufsichtsmechanismen und Rechtsbehelfe vorgesehen sind.
Bedeutung des EU-Angemessenheitsbeschlusses für die Schweiz
Der Angemessenheitsbeschluss ist insbesondere für die Schweizer Wirtschaft von herausragender Bedeutung. Personendaten können weiterhin aus einem EU- oder EWR-Mitgliedstaat ohne zusätzliche Garantien zur Sicherstellung eines ausreichenden Datenschutzniveaus in die Schweiz übermittelt werden.
Ohne diesen Angemessenheitsbeschluss wäre jeder Datenexport aus der EU bzw. dem EWR in die Schweiz im Einzelfall durch zusätzliche Garantien (z.B. Standardvertragsklauseln) abzusichern und damit ungleich aufwändiger.
In diesem Sinne ist die durch den Angemessenheitsbeschluss erreichte unbürokratische grenzüberschreitende Datenübermittlung für den Schweizer Wirtschaftsstandort und die schweizerische Wettbewerbsfähigkeit zentral, insbesondere auch weil die EU der grösste Handelspartner der Schweiz ist.
Da auch die Schweiz das Datenschutzniveau der EU- und EWR-Staaten als angemessen anerkennt, gilt der freie Datenverkehr zwischen der Schweiz und den EU- bzw. EWR- Ländern in beide Richtungen.
