Schweizerische Anerkennung von Staaten, die einen angemessenen Datenschutz gewährleisten

Gemäss dem ab dem 1. September 2023 geltenden DSG liegt es beim Bundesrat zu entscheiden, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet. Das Bundesamt für Justiz hat die Aufgabe, die Angemessenheit des Datenschutzes zu beurteilen.

Art. 8 DSV legt mehrere Kriterien fest, die bei der Beurteilung besonders zu berücksichtigen sind, nämlich:

a. die internationalen Verpflichtungen des Staates oder internationalen Organs, insbesondere im Bereich des Datenschutzes;
b. die Rechtsstaatlichkeit und die Achtung der Menschenrechte;
c. die geltende Gesetzgebung insbesondere zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung;
d. die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes;
e. das wirksame Funktionieren einer oder mehrerer unabhängiger Behörden, die im betreffenden Staat für den Datenschutz zuständig sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen.

Anhang 1 der DSV enthält eine Liste der Staaten, die über einen angemessenen Datenschutz verfügen. Diese verbindliche Liste wird im Folgenden in tabellarischer Form wiedergegeben.

Es ist zu beachten, dass unter dem bis August 2023 geltenden DSG der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine indikative Liste von Staaten erstellt hat, die einen angemessenen Datenschutz gewährleisten. Aber es lag immer noch in der Verantwortung des Datenexporteurs, zu beurteilen und sicherzustellen, dass die Daten in einem Drittstaat angemessen geschützt werden. Dies ist nach der neuen Regelung nicht mehr der Fall.

Liste der Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationaler Organe mit einem angemessenen Datenschutz

Staat, Gebiet, spezifischer Sektor in einem Staat oder einem internationalen Organ

Zusätzliche Informationen / Dokumentation

Deutschland*

 

Andorra***

 

Argentinien***

 

Österreich*

 

Belgien*

 

Bulgarien***

 

Kanada***

Ein angemessener Datenschutz gilt als gewährleistet, wenn das kanadische Bundesgesetz "Loi sur la protection des renseignements personnels et les documents électroniques" vom 13. April 2000 im privaten Bereich oder das Gesetz einer kanadischen Provinz, das diesem Bundesgesetz weitgehend entspricht, zur Anwendung gelangt. Das Bundesgesetz gilt für Personendaten, die im Rahmen kommerzieller Tätigkeiten beschafft, bearbeitet oder bekanntgegeben werden, unabhängig davon, ob es sich um Organisationen wie Vereine, Personengesellschaften, Einzelpersonen oder Gewerkschaften oder bundesrechtlich geregelte Unternehmen wie Anlagen, Werke, Unternehmen oder Geschäftstätigkeiten, die in die Gesetzgebungskompetenz des kanadischen Parlaments fallen, handelt. Die Provinzen Québec, British Columbia und Alberta haben ein Gesetz erlassen, das dem Bundesgesetz weitgehend entspricht; die Provinzen Ontario, New Brunswick, Neufundland und Labrador und Neuschottland haben ein Gesetz erlassen, das im Bereich der Gesundheitsdaten diesem Gesetz weitgehend entspricht. In allen kanadischen Provinzen gilt das Bundesgesetz für alle.

Personendaten, die von bundesrechtlich geregelten Unternehmen beschafft, bearbeitet oder bekanntgegeben werden, einschliesslich der Daten über Angestellte dieser Unternehmen. Das Bundesgesetz gilt auch für Personendaten, die im Rahmen kommerzieller Tätigkeiten in eine andere Provinz oder in ein anderes Land übermittelt werden.

Zypern***

 

Kroatien***

 

Dänemark*

 

Spanien*

 

Estland*

 

Finnland*

 

Frankreich*

 

Gibraltar***

 

Griechenland*

 

Guernsey***

 

Ungarn*

 

Isle of Man***

 

Färöer***

 

Irland***

 

Island*

 

Israel***

 

Italien*

 

Jersey***

 

Lettland*

 

Liechtenstein*

 

Litauen*

 

Luxemburg*

 

Malta*

 

Monaco***

 

Norwegen*

 

Neuseeland***

 

Niederlande*

 

Polen*

 

Portugal*

 

Tschechien*

 

Rumänien***

 

Vereinigtes Königreich**

 

Slowakei*

 

Slowenien*

 

Schweden*

 

Uruguay***

 

Vereinigte Staaten***

Für Personendaten, die von Organisationen bearbeitet werden, die gemäss den Grundsätzen des Datenschutzrahmens zwischen der Schweiz und den USA[1] zertifiziert sind, gilt ein angemessenes Schutzniveau als gewährleistet, und zwar aufgrund der Garantien, die durch die Durchführungsverordnung 14086 vom 7. Oktober 2022[2], die Vorschrift über das Gericht zur Datenschutzüberprüfung des Generalstaatsanwalts der Vereinigten Staaten vom 7. Oktober 2022[3] und der Richtlinie 126 der Nachrichtendienstgemeinschaft (Verfahren für die Umsetzung für den Beschwerdemechanismus im Bereich der Nachrichtendienste gemäss Durchführungsverordnung 14086)[4], die vom Büro der Direktorin des Nationalen Nachrichtendienstes am 6. Dezember 2022 erstellt wurde, gewährt werden sowie aufgrund der Ernennung der Schweiz am 7. Juni 2024 als Staat, der vom zweistufigen Beschwerdemechanismus einschliesslich des Zugangs zum Gericht zur Datenschutzüberprüfung profitiert[5].

[1] Die Grundsätze sind abrufbar unter:
www.dataprivacyframework.gov/s/framework-text?tabset-c1491=3

[2] Das Exekutivdekret 14086 ist abrufbar unter:
www.state.gov/executive-order-14086-policy-and-procedures/

[3] Die Vorschrift ist abrufbar unter:
www.federalregister.gov/documents/2022/10/14/2022-22234/data-protection-review-court

[4] Die Richtlinie ist abrufbar unter:
www.dni.gov/files/documents/ICD/ICD_126-Implementation-Procedures-for-SIGINT-Redress-Mechanism.pdf

[5] Die Ernennung ist abrufbar unter:
www.justice.gov/opcl/media/1355326/dl?inline

* Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten nach der Richtlinie (EU) 2016/6806 (Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, Fassung gemäss ABl. L 119/89 vom 4.5.2016, S. 89.) mit ein.

** Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten gemäss einem Durchführungsbeschluss der Europäischen Kommission, mit welchem die Angemessenheit des Datenschutzes nach der Richtlinie (EU) 2016/680 festgestellt wird, mit ein.

*** Die Beurteilung der Angemessenheit des Datenschutzes schliesst die Bekanntgabe von Personendaten im Rahmen der von der Richtlinie (EU) 2016/680 vorgesehenen Zusammenarbeit nicht mit ein.


Tabelle: Stand am 15. September 2024

Letzte Änderung 15.09.2024

Zum Seitenanfang