Gemäss dem ab dem 1. September 2023 geltenden DSG liegt es beim Bundesrat zu entscheiden, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet. Das Bundesamt für Justiz hat die Aufgabe, die Angemessenheit des Datenschutzes zu beurteilen.
Art. 8 DSV legt mehrere Kriterien fest, die bei der Beurteilung besonders zu berücksichtigen sind, nämlich:
a. die internationalen Verpflichtungen des Staates oder internationalen Organs, insbesondere im Bereich des Datenschutzes;
b. die Rechtsstaatlichkeit und die Achtung der Menschenrechte;
c. die geltende Gesetzgebung insbesondere zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung;
d. die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes;
e. das wirksame Funktionieren einer oder mehrerer unabhängiger Behörden, die im betreffenden Staat für den Datenschutz zuständig sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen.
Anhang 1 der DSV enthält eine Liste der Staaten, die über einen angemessenen Datenschutz verfügen. Diese verbindliche Liste wird im Folgenden in tabellarischer Form wiedergegeben.
Es ist zu beachten, dass unter dem bis August 2023 geltenden DSG der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine indikative Liste von Staaten erstellt hat, die einen angemessenen Datenschutz gewährleisten. Aber es lag immer noch in der Verantwortung des Datenexporteurs, zu beurteilen und sicherzustellen, dass die Daten in einem Drittstaat angemessen geschützt werden. Dies ist nach der neuen Regelung nicht mehr der Fall.
Liste der Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationaler Organe mit einem angemessenen Datenschutz
Staat, Gebiet, spezifischer Sektor in einem Staat oder einem internationalen Organ |
Zusätzliche Informationen / Dokumentation |
|---|---|
Deutschland* |
|
Andorra*** |
|
Argentinien*** |
|
Österreich* |
|
Belgien* |
|
Bulgarien*** |
|
Kanada*** |
Ein angemessener Datenschutz gilt als gewährleistet, wenn das kanadische Bundesgesetz "Loi sur la protection des renseignements personnels et les documents électroniques" vom 13. April 2000 im privaten Bereich oder das Gesetz einer kanadischen Provinz, das diesem Bundesgesetz weitgehend entspricht, zur Anwendung gelangt. Das Bundesgesetz gilt für Personendaten, die im Rahmen kommerzieller Tätigkeiten beschafft, bearbeitet oder bekanntgegeben werden, unabhängig davon, ob es sich um Organisationen wie Vereine, Personengesellschaften, Einzelpersonen oder Gewerkschaften oder bundesrechtlich geregelte Unternehmen wie Anlagen, Werke, Unternehmen oder Geschäftstätigkeiten, die in die Gesetzgebungskompetenz des kanadischen Parlaments fallen, handelt. Die Provinzen Québec, British Columbia und Alberta haben ein Gesetz erlassen, das dem Bundesgesetz weitgehend entspricht; die Provinzen Ontario, New Brunswick, Neufundland und Labrador und Neuschottland haben ein Gesetz erlassen, das im Bereich der Gesundheitsdaten diesem Gesetz weitgehend entspricht. In allen kanadischen Provinzen gilt das Bundesgesetz für alle. Personendaten, die von bundesrechtlich geregelten Unternehmen beschafft, bearbeitet oder bekanntgegeben werden, einschliesslich der Daten über Angestellte dieser Unternehmen. Das Bundesgesetz gilt auch für Personendaten, die im Rahmen kommerzieller Tätigkeiten in eine andere Provinz oder in ein anderes Land übermittelt werden. |
Zypern*** |
|
Kroatien*** |
|
Dänemark* |
|
Spanien* |
|
Estland* |
|
Finnland* |
|
Frankreich* |
|
Gibraltar*** |
|
Griechenland* |
|
Guernsey*** |
|
Ungarn* |
|
Isle of Man*** |
|
Färöer*** |
|
Irland*** |
|
Island* |
|
Israel*** |
|
Italien* |
|
Jersey*** |
|
Lettland* |
|
Liechtenstein* |
|
Litauen* |
|
Luxemburg* |
|
Malta* |
|
Monaco*** |
|
Norwegen* |
|
Neuseeland*** |
|
Niederlande* |
|
Polen* |
|
Portugal* |
|
Tschechien* |
|
Rumänien*** |
|
Vereinigtes Königreich** |
|
Slowakei* |
|
Slowenien* |
|
Schweden* |
|
Uruguay*** |
|
* Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten nach der Richtlinie (EU) 2016/6806 (Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, Fassung gemäss ABl. L 119/89 vom 4.5.2016, S. 89.) mit ein.
** Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten gemäss einem Durchführungsbeschluss der Europäischen Kommission, mit welchem die Angemessenheit des Datenschutzes nach der Richtlinie (EU) 2016/680 festgestellt wird, mit ein.
*** Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten im Rahmen der von der Richtlinie (EU) 2016/680 vorgesehenen Zusammenarbeit nicht mit ein.
Tabelle: Stand am 1. September 2023
Letzte Änderung 22.06.2023
