{"id":348528,"date":"2024-08-28T18:12:12","date_gmt":"2024-08-28T18:12:12","guid":{"rendered":"https:\/\/publicsector.ch\/?p=348528"},"modified":"2024-09-06T07:01:41","modified_gmt":"2024-09-06T07:01:41","slug":"make-privacy-great-again","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/make-privacy-great-again\/","title":{"rendered":"Make Privacy Great Again!"},"content":{"rendered":"<div data-elementor-type=\"wp-post\" data-elementor-id=\"348528\" class=\"elementor elementor-348528\" data-elementor-post-type=\"post\">\n\t\t\t\t<div class=\"elementor-element elementor-element-2a83a0c1 e-flex e-con-boxed elementor-repeater-item-default_padding elementor-repeater-item-none elementor-repeater-item-none_hover e-con e-parent\" data-id=\"2a83a0c1\" data-element_type=\"container\" data-e-type=\"container\" data-settings=\"{&quot;ang_container_spacing_size&quot;:&quot;default_padding&quot;}\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-80e4a37 elementor-repeater-item-none elementor-repeater-item-none_hover elementor-widget elementor-widget-text-editor\" data-id=\"80e4a37\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h2>Make Privacy Great Again!<\/h2><h4><strong>Mit dem \u00abSwiss-U.S. Data Privacy Framework\u00bb wird der Datenfluss in die USA aus datenschutzrechtlicher Sicht zuk\u00fcnftig vereinfacht. Ganz ohne Massnahmen und Vorsicht geht es aber auch unter der neuen Rechtslage nicht. <\/strong><\/h4><p><strong>Was ist geschehen?<\/strong><\/p><p>Der Bundesrat hat am 14. August 2024 entschieden, die USA in die Liste der Staaten mit angemessenem Datenschutzniveau aufzunehmen, soweit das datenempfangende Unternehmen nach dem \u00ab<em>Swiss-U.S. Data Privacy Framework<\/em>\u00bb (DPF) zertifiziert ist (s. die Medienmitteilung <a href=\"https:\/\/www.admin.ch\/gov\/de\/start\/dokumentation\/medienmitteilungen.msg-id-102054.html\">hier<\/a>). Die \u00c4nderung tritt am 15. September 2024 in Kraft. Dazu wird Anhang 1 der Datenschutzverordnung angepasst, welche die L\u00e4nder mit angemessenem Datenschutzniveau listet.<\/p><p>Die Schweiz folgt damit der Europ\u00e4ischen Union und vereinfacht unter der Voraussetzung der Zertifizierung die Datenbekanntgabe in die USA.<\/p><p><strong>Wie funktioniert das Data Privacy Framework?<\/strong><\/p><p>Um am Programm teilzunehmen, muss sich ein US-Unternehmen selber nach dem DPF zertifizieren und sich \u00f6ffentlich zur Einhaltung verpflichten. Die Teilnahme ist freiwillig, aber sobald man zertifiziert ist, werden die entsprechenden Pflichten nach US-amerikanischem Recht einklagbar.<\/p><p>Inhaltlich sieht das DPF eine Reihe von Pflichten f\u00fcr die zertifizierten Unternehmen vor, die wir aus dem Schweizer Datenschutzgesetz (DSG) oder aus der Europ\u00e4ischen Datenschutz-Grundverordnung (DSGVO) bestens kennen. So z.B.:<\/p><ul><li>Personendaten sind zu l\u00f6schen, sobald der Bearbeitungszweck wegf\u00e4llt<\/li><li>es m\u00fcssen Datensicherheitsmassnahmen zum Schutz vor Missbrauch, Verlust oder unbefugtem Zugriff implementiert werden<\/li><li>betroffene Personen verf\u00fcgen \u00fcber Betroffenenrechte (z.B. Auskunft oder Berichtigung) gegen\u00fcber den US-Unternehmen<\/li><li>bei rechtswidriger Datenbearbeitung sind Rechtsbehelfe vorgesehen, z.B. ein unentgeltlicher Streitbeilegungsmechanismus<\/li><li>beim Zugriff von US-Beh\u00f6rden auf aus der Schweiz stammende Personendaten besteht ein Beschwerdemechanismus<\/li><\/ul><p>Die Einhaltung der Grunds\u00e4tze werden vom <em>US Department of Commerce<\/em> (<em>DoC<\/em>) \u00fcberwacht und durch die <em>Federal Trade Commission<\/em> (<em>FTC<\/em>) durchgesetzt. Es wird zudem laufend publiziert, welche Unternehmen die Zertifizierung j\u00e4hrlich erneuern, diese aufgrund fehlender Compliance verlieren oder freiwillig aufgeben.<\/p><p><strong>Was bedeutet dies f\u00fcr Organisationen in der Schweiz?<\/strong><\/p><p>Beim Transfer von Personendaten in Staaten ohne gen\u00fcgenden Datenschutz m\u00fcssen zus\u00e4tzliche Garantien implementiert werden. In der Praxis werden dazu h\u00e4ufig die Standardvertragsklauseln (SCC) abgeschlossen. Dabei muss man jeweils aufw\u00e4ndig analysieren, ob die Rechtslage im Empf\u00e4ngerstaat die Wirksamkeit der SCC nicht wieder aufhebt (Stich- oder fast schon Fluchwort \u00ab<em>Transfer Impact Assessment<\/em>\u00bb (<em>TIA<\/em>)).<\/p><p>Ist ein Unternehmen nach dem DPF zertifiziert, sind keine solche Garantien mehr notwendig und die USA gilt als Empf\u00e4ngerstaat mit gen\u00fcgendem Datenschutzniveau.<\/p><p>Das bedeutet aber nicht \u00abLeinen los\u00bb und dass Daten ohne jegliche Massnahmen \u00fcbermittelt werden d\u00fcrfen. Es wird empfohlen, folgende Schritte zu durchlaufen und Massnahmen zu treffen:<\/p><ul><li>Werden Daten an ein US-Unternehmen \u00fcbermittelt? Achtung, unter die Bekanntgabe fallen die lokale Verschiebung der Daten und der Fernzugriff (\u00ab<em>remote access<\/em>\u00bb) gleichermassen.<\/li><li>Pr\u00fcfen, ob das Unternehmen zertifiziert ist: <a href=\"https:\/\/www.dataprivacyframework.gov\/list\">https:\/\/www.dataprivacyframework.gov\/list<\/a> (es sind bereits diverse Unternehmen, wie Microsoft, Google oder Amazon, zertifiziert).<\/li><li>Bei einer Auftragsdatenbearbeitung ist eine gen\u00fcgende Vereinbarung (ADV) abzuschliessen<\/li><li>Eine dem Risiko angemessene Datensicherheit ist sicherzustellen (TOMs).<\/li><li>Das datenempfangende Unternehmen ist zu verpflichten, die Zertifizierung j\u00e4hrlich zu erneuern.<\/li><li>Das datenempfangende Unternehmen hat umgehend bekannt zu geben, falls es von der DPF-Liste entfernt wird, was die Gr\u00fcnde sind und wie mit den Konsequenzen umgegangen wird.<\/li><li>Das datenempfangende Unternehmen ist zu verpflichten, nahtlos eine alternative Garantie zu implementieren, falls das DPF f\u00fcr ung\u00fcltig erkl\u00e4rt werden sollte (z.B. Abschluss SCC).<\/li><\/ul><p>Es bleibt einer Organisation zudem unbenommen, den Datentransfer weiterhin bzw. parallel auf die SCC zu st\u00fctzen. Ob die SCC dann als prim\u00e4re Grundlage f\u00fcr den Datentransfer oder als Auffangnetz dienen, sollte vertraglich geregelt werden, um Widerspr\u00fcche zwischen den Rechtsgrundlagen zu verhindern.<\/p><p><strong>Gibt es Besonderheiten f\u00fcr den \u00f6ffentlichen Sektor?<\/strong><\/p><p>Das DPF unterscheidet prinzipiell nicht zwischen Datentransfers durch \u00f6ffentlich-rechtliche bzw. private Organisationen. Das Schweizer Datenschutzrecht sieht aber Besonderheiten bei Datenbekanntgaben im \u00f6ffentlichen Sektor vor: Das Bundesgesetz \u00fcber den Datenschutz (DSG) wie auch die kantonalen Datenschutzgesetze verlangen grunds\u00e4tzlich eine gesetzliche Grundlage bei der (grenz\u00fcberschreitenden) Bekanntgabe von Personendaten.<\/p><p>Diese Voraussetzung besteht unabh\u00e4ngig des DPF, ist jedoch im \u00f6ffentlichen Sektor von entscheidender Bedeutung (demokratische und rechtsstaatliche Funktion).<\/p><p>Je nach Art der bekanntgegebenen Daten bestehen sodann unterschiedliche Anforderungen an die gesetzliche Grundlage: Wonach bei gew\u00f6hnlichen Personendaten ein Gesetz im materiellen Sinn (Verordnung) ausreichend ist, bedarf es beim Transfer besonders sch\u00fctzenswerter Personendaten eine Gesetzesgrundlage im formellen Sinn.<\/p><p><strong>Hurray, free flow of data to the USA?<\/strong><\/p><p>Die Vorg\u00e4ngermodelle des DPF (<em>Safe Harbour<\/em> und <em>Privacy Shield<\/em>) wurden in der Vergangenheit beide zu Fall gebracht. Dies durch die wegweisenden Entscheide des Europ\u00e4ischen Gerichtshofs (EuGH), die als \u00abSchrems I\u00bb und \u00abSchrems II\u00bb in die Datenschutzgeschichte eingingen. Hintergrund sind Klagen der Nichtregierungsorganisation <em>noyb<\/em> (<em>none of your business<\/em>) unter Leitung des Gr\u00fcnders und Datenschutzanwalts Max Schrems. Man sah die Grundrechte verletzt, da EU-B\u00fcrgerinnen und -B\u00fcrger bei Datentransfers gest\u00fctzt auf die besagten Mechanismen keine wirksame M\u00f6glichkeit hatten, sich gegen unrechtm\u00e4ssige \u00dcberwachung und Datenzugriffe durch US-Beh\u00f6rden zu wehren. Dies wurde vom EuGH in den Entscheiden best\u00e4tigt und in der Folge auch durch den Eidgen\u00f6ssische Datenschutz- und \u00d6ffentlichkeitsbeauftragte (ED\u00d6B) so festgehalten.<\/p><p><em>noyb <\/em>hat die gerichtliche \u00dcberpr\u00fcfung des neuen DPF bereits angek\u00fcndigt und bekannt gegeben, dass sie den Meccano als nicht grundrechtskonform erachten. Daneben \u00fcberwacht auch der Bundesrat die Rechtslage in den USA laufend und \u00fcberpr\u00fcft den Angemessenheitsbeschluss zu den USA regelm\u00e4ssig (erstmals in einem Jahr). \u00c4nderungen von Rechtsprechung und Gesetzgebung in den USA k\u00f6nnen dadurch zu einer Anpassung bzw. Aufhebung der Angemessenheit f\u00fchren.<\/p><p>Das DPF bietet aktuell Rechtssicherheit, welche jedoch von beschr\u00e4nkter Dauer sein k\u00f6nnte. Sich blind (nur) auf das DPF zu verlassen, wird daher nicht empfohlen. Denn wie geschildert ist nicht ausgeschlossen, dass die angek\u00fcndigten rechtlichen Schritte gegen das DPF Erfolg haben werden. Dies ganz nach dem Motto:<\/p><p><em>If we fight (for privacy), we win<\/em>!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"<p>Make Privacy Great Again! Mit dem \u00abSwiss-U.S. Data Privacy Framework\u00bb wird der Datenfluss in die USA aus datenschutzrechtlicher Sicht zuk\u00fcnftig vereinfacht. Ganz ohne Massnahmen und Vorsicht geht es aber auch unter der neuen Rechtslage nicht. Was ist geschehen? Der Bundesrat hat am 14. August 2024 entschieden, die USA in die Liste der Staaten mit angemessenem [&hellip;]<\/p>\n","protected":false},"author":11,"featured_media":348530,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21,25],"tags":[54,107,45,108,109,90],"class_list":["post-348528","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-grundrechte","tag-datenschutz","tag-dsg","tag-dsgvo","tag-idg","tag-privacy-framwork","tag-schrems-ii"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348528","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=348528"}],"version-history":[{"count":5,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348528\/revisions"}],"predecessor-version":[{"id":348556,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348528\/revisions\/348556"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media\/348530"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=348528"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=348528"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=348528"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}