Datenschutzvergleich Deutschland & Schweiz

Datenschutz: Drittländer als Risiko

12.01.2016
Von 


Regina Mühlich ist Geschäftsführerin der Unternehmensberatung AdOrga Solutions GmbH. Als Expertin für Datenschutz, anerkannte und geprüfte Sachverständige für Datenschutz und Informationsverarbeitung, Auditorin für Datenschutz und Qualitätsmanagement berät und unterstützt sie internationale Unternehmen aus unterschiedlichsten Branchen. Dank ihrer langjährigen Erfahrung als COO, Projekt-/QM-Leiterin und Konzerndatenschutzbeauftragte verfügt sie über profunde Kenntnisse in Unternehmensstrukturen und -abläufen.
Global agierend, übermitteln immer mehr Firmen personenbezogene Daten ins Ausland - oftmals werden Daten ungedanks und ganz selbstvertändlich transferiert, ohne die datenschutzrechtlichen Rahmenbedingungen des betroffenen Landes näher zu kennen oder zu hinterfragen. Was bleibt? Das Risiko eines Gesetzesverstoßes, der empfindlich geahndet wird.

Europäische Union hin, Europäische Union her - Geht es um Datentransfers ins Ausland, bietet das vereinte Europa Vorteile. Die Übermittlung von Daten in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) wie Norwegen, Island und Liechtenstein, gestalten sich darüber hinaus unproblematisch (vgl. "sonstige ausländische Stellen", § 4 b Abs 2 S. 2 BDSG). Problematisch sind Datentransfers in Länder die weder der EU, noch dem EWR angehören. Sie werden als sogenannte "Drittländer" betitelt.

Geht es um den Datenschutz, sollten Unternehmen nichts dem Zufall überlassen. Das gilt insbesondere dann, wenn Datentransfers in Drittländer stattfinden.
Geht es um den Datenschutz, sollten Unternehmen nichts dem Zufall überlassen. Das gilt insbesondere dann, wenn Datentransfers in Drittländer stattfinden.
Foto: k1003mike - shutterstock

Drittländer mit angemessenem Datenschutzniveau

Was ist ein Drittland? "Ein Drittland ist ein Staat, in dem ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte." DasBundesdatenschutzgesetz (BDSG) sieht für die Datenübermittlungen in ein solches Drittland besondere Regelungen vor. Eine Datenübermittlung ins Nicht-EU-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder ein angemessenes Datenschutzniveau im Sinne des § 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird.

Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere, eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach §§ 28 ff. BDSG).

Schweiz vs. Deutschland im Datenschutzvergleich

Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert aber nach Auffassung der EU-Kommission bei der Verarbeitung von personenbezogenen Daten einen adäquaten Datenschutz. Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige, kantonale Datenschutzgesetz anwendbar. Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den "Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten". Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone selbst zuständig. Sie sind unabhängig und dem Eidgenössischem Datenschutzbeauftragten nicht unterstellt.

Ein großer Unterschied zu den Regelungen in Deutschland ist, dass in der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht existiert (Art. 14 und Art. 18a): Werden Personendaten von Bundesorganen bearbeitet oder besonders schützenswerte Personendaten oder Persönlichkeitsprofile von privaten Personen bearbeitet, dann müssen grundsätzlich die betroffenen Personen aktiv durch den Inhaber der Datensammlung informiert werden. Ähnlich wie es in Deutschland und auch in Österreich definiert ist, sind auch in der Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d), den besonders schützenswerten Daten gleichgestellt.

Datenverarbeitung: Länderspezifische Unterschiede

Für die Verarbeitung von personenbezogenen Daten deutscher Auftraggeber gilt dasSchweizer Datenschutzgesetz (DSG). Die Weitergabe von Daten ist nach deutschem Recht immer eine "Übermittlung" an Dritte (§ 3 Abs. 8 i. V. m. § 3 Abs. 4 BDSG). Aufgrund der nationalen Datenschutzgesetze ist die Rückübermittlung der Daten an den deutschen Auftraggeber, welcher ein angemessenes Datenschutzniveau gewährleistet (Art. 6 DSG, § 4 b BDSG) nach Schweizer Recht unproblematisch und zulässig. Der Schweizer Auftragnehmer (Dienstleister) ist nach Art. 7 DSG verpflichtet, personenbezogene Daten durch entsprechende technische und organisatorische Maßnahmen zu schützen. Dies wird mit Art. 8 - 10 DSG konkretisiert.

Die Auftragsdatenverarbeitung nach dem deutschen BDSG (§ 11 BDSG) entspricht Art. 10 a DSG. Die Verarbeitung an Dritte darf erfolgen, wenn die personenbezogenen Daten nur so verarbeitet werden, wie der Auftraggeber es selbst tun darf. Art. 10 a Abs. 3 DSG besagt, dass der Dritte dieselben Rechtfertigungsgründe wie der Auftraggeber geltend machen kann. Art. 13 Abs. 2 DSG regelt die Rechtfertigungsgründe allerdings nicht abschließend. Er enthält vielmehr einen Beispielkatalog.