Gemäss nDSG 16 ff. dürfen Daten ins Ausland grundsätzlich nur übermittelt werden, wenn dort ein angemessenes Datenschutzniveau besteht:
- Grundsätze (nDSG 16)
- Schutzgewährleistung
- Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat (BR) festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet (nDSG 16 Abs. 1).
- Schutzgewährleistung
- Kein Entscheid des Bundesrates
- Liegt kein Entscheid des BR im Sinne von nDSG 16 Abs. 1 vor, dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch (vgl. nDSG 16 Abs. 2):
-
-
-
- ein völkerrechtlicher Vertrag;
- Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
- spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
- Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
- verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.
-
- Garantien
- Der Bundesrat kann andere geeignete Garantien im Sinne von nDSG 16 Abs. 2 vorsehen (vgl. nDSG 16 Abs. 3).
-
- Ausnahmen (nDSG 17)
- siehe dort
- Veröffentlichung von Personendaten in elektronischer Form (nDSG 18)
- siehe dort.
Die Details von nDSG 16 ff. + DSV
3. Abschnitt: Bekanntgabe von Personendaten ins Ausland
Art. 16 nDSG Grundsätze
1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.
2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:
- einen völkerrechtlichen Vertrag;
- Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden;
- spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat;
- Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; oder
- verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom EDÖB oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden.
3 Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz 2 vorsehen.
Art. 17 nDSG Ausnahmen
1 Abweichend von Artikel 16 Absätze 1 und 2 dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden:
- Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt.
- Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:
- zwischen dem Verantwortlichen und der betroffenen Person; oder
- zwischen dem Verantwortlichen und seiner Vertragspartnerin oder seinem Vertragspartner im Interesse der betroffenen Person.
- Die Bekanntgabe ist notwendig für:
- die Wahrung eines überwiegenden öffentlichen Interesses; oder
- die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde.
- Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen.
Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.
- Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind.
2 Der Verantwortliche oder der Auftragsbearbeiter informiert den EDÖB auf Anfrage über die Bekanntgabe von Personendaten nach Absatz 1 Buchstaben b Ziffer 2, c und d.
Art. 18 nDSG Veröffentlichung von Personendaten in elektronischer Form
Werden Personendaten zur Information der Öffentlichkeit mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich gemacht, so gilt dies nicht als Bekanntgabe ins Ausland, auch wenn die Daten vom Ausland aus zugänglich sind.
3. Abschnitt: Bekanntgabe von Personendaten ins Ausland
Art. 8 DSV Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs
1 Die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe mit einem angemessenen Datenschutz werden in Anhang 1 aufgeführt.
2 Bei der Beurteilung, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet, werden insbesondere die folgenden Kriterien berücksichtigt:
- die internationalen Verpflichtungen des Staates oder internationalen Organs, insbesondere im Bereich des Datenschutzes;
- die Rechtsstaatlichkeit und die Achtung der Menschenrechte;
- die geltende Gesetzgebung insbesondere zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung;
- die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes;
- das wirksame Funktionieren einer oder mehrerer unabhängiger Behörden, die im betreffenden Staat für den Datenschutz zuständig sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen.
3 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wird bei jeder Beurteilung konsultiert. Die Einschätzungen von internationalen Organen oder ausländischen Behörden, die für den Datenschutz zuständig sind, können berücksichtigt werden.
4 Die Angemessenheit des Datenschutzes wird periodisch neu beurteilt.
5 Die Beurteilungen werden veröffentlicht.
6 Wenn die Beurteilung nach Absatz 4 oder andere Informationen zeigen, dass kein angemessener Datenschutz mehr gewährleistet ist, wird Anhang 1 geändert; dies hat keine Auswirkungen auf die bereits erfolgten Datenbekanntgaben.
Literatur
- SCHÖNBÄCHLER MATTHIAS R., Zum neuen Schweizer Datenschutzrecht, in: ZBJV 159 (2023) S. 182 ff.