Ein Datentransfer zwischen Deutschland und der Schweiz nimmt nicht zuletzt aufgrund der fortschreitenden Globalisierung an Bedeutung zu. Es werden immer mehr personenbezogene Daten in unterschiedliche Länder übermittelt und empfangen. Oftmals wird dabei außer Acht gelassen, welche datenschutzrechtlichen Regelungen in dem Land herrschen, in das die Daten übermittelt werden. Ein solch achtloser Umgang mit personenbezogenen Daten kann rechtliche Konsequenzen mit sich bringen, die neben Geldstrafen einen großen Imageverlust für die verantwortliche Stelle, i. d. R. international agierende Konzerne, aber auch gerade für mittelständische Unternehmen, bedeuten können. Ausland ist jedoch nicht gleich Ausland: Je nach Abkommen zwischen verschieden Ländern kann eine Harmonisierung des Rechts erfolgt sein, daher sollte stets eine Unterscheidung vorgenommen werden zwischen EU-, EWR und den übrigen Ländern, den sogenannten Drittländern.

Was sind die Unterschiede zwischen EU-, EWR- und Drittländern?

Vor wenigen Tagen, zum 60. Jubiläum der Römischen Verträge, die am 25.03.1957 unterzeichnet und den Grundstein für die Europäische Union legten, wurde erneut eine Erklärung besiegelt. Hiermit bekräftigen die Staats- und / oder Regierungschefs das Versprechen auf Freiheit, Frieden und Wohlstand. So hat die Europäische Union, trotz zahlreicher Kritik, viele positive Aspekte gebracht. Viele schimpfen über die Harmonisierung, doch ohne diese wäre die damit verbundene Freizügigkeit des Personen-, Waren und Datenverkehrs nicht bzw. nur schwer möglich. Werden personenbezogene Daten unter Beachtung der europäischen Gesetzlichkeiten übermittelt, sind zwar Maßnahmen zu ergreifen, allerdings halten sich der Aufwand und die Datenschutz-Risiken i. d. R. noch in Grenzen. Das gleiche gilt für Länder des europäischen Wirtschaftsraumes, wie z. B. Norwegen, Island und Liechtenstein (§ 4b Abs. 2 Satz 2 Bundesdatenschutzgesetz (BDSG)). Probleme treten bei Ländern auf, die weder der EU noch dem EWR angehören, den sogenannten Drittländern.   Eine Übermittlung von personengebundenen Daten in ein Drittland ist nach § 4b Abs. 2 BDSG zu unterlassen, sofern dem Betroffenen kein angemessener Schutz zugesichert werden kann. Das BDSG bildet dabei den Maßstab, an dem sich das Sicherheitsniveau des Drittlandes messen muss. Ob ein entsprechendes datenschutzrechtliches Schutzniveau im Drittstaat vorhanden ist, wird nach Art. 25 Abs. 6 der europäischen Datenschutzrichtlinie (EG-DatSchRL / Richtlinie 95/46/EG) durch die EU-Kommission festgestellt.

Die nach Art. 25 Abs. 6 der Richtlinie 95/46/EG erlassenen Feststellungen bleiben solange in Kraft bis diese geändert oder ersetzt wurden, vgl. Art. 45 Abs. 9 Datenschutz-Grundverordnung (DS-GVO).

Die Kommission hat dabei ein ausreichendes datenschutzrechtliches Schutzniveau beispielsweise für die Schweiz, Neuseeland, Kanada, Israel und Argentinien festgestellt. Für diese Länder wird ein mit der EU vergleichbares Datenschutzniveau angenommen, das entsprechend Art. 45 Abs. 9 DS-GVO zumindest vorerst fortbesteht. Folglich kann eine Datenübertragung in einen Staat mit ausreichendem Datenschutzniveau bedenkenlos erfolgen, sofern eine Rechtsgrundlage für die Übermittlung vorliegt.

Exkurs: Auswirkungen des Brexit

Aufgrund der derzeitigen Entwicklungen in Europa, die durch den Brexit ausgelöst wurden, soll kurz erläutert werden, wie es sich mit dieser Thematik verhält: Beim Einreichen des Austrittsantrags aus der EU durch Großbritannien hat der Staat 2 Jahre Zeit, um entsprechende Abkommen (z.B. EWR-Beitritt) mit der EU zu schließen. Besteht kein entsprechendes Abkommen zwischen Großbritannien und der EU bezüglich der Freizügigkeit, wird Großbritannien als Drittstaat bewertet. Daraus resultierend folgt eine Bewertung des Datenschutzniveaus Großbritanniens durch die EU-Kommission.

Datenschutz in Deutschland und Schweiz – Der Vergleich

Wie bereits erwähnt, stellt die Schweiz ein Drittland dar, welches ein ausreichendes Datenschutzniveau für die EU aufweist. Um die Thematik näher zu erläutern, soll im Folgenden näher auf den Datenschutz in Deutschland und der Schweiz eingegangen werden und ein datenschutzrechtlicher Vergleich der Schweiz (Drittland) mit Deutschland (EU-Land) erfolgen.

Datenschutz in Deutschland und Schweiz – Datenschutzregelungen und Kontrollorgane

Der Aufbau der datenschutzrechtlichen Zuständigkeit in der Schweiz ist dem in Deutschland sehr ähnlich. So regelt das Datenschutzgesetz des Bundes den Datenschutz der Bundesbehörde sowie für den privaten Bereich, dabei haben die Bundesländer (in der Schweiz Kantone) auf Basis ihres Rechts auf Selbstverwaltung ihr eigenes länder- bzw. kantonspezifisches Datenschutzrecht.

Gemäß § 24 Abs. 1 BDSG kontrolliert die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) bei den öffentlichen Stellen des Bundes die Einhaltung des BDSG und anderer Datenschutz-Vorschriften. Der jeweilige Landesbeauftragte für den Datenschutz ist für öffentliche Stellen des Landes zuständig, wobei er in den meisten Bundesländern als Aufsichtsbehörde ebenfalls die Einhaltung des Datenschutzes bei nicht-öffentlichen Stellen kontrolliert. Eine Ausnahme stellt Bayern dar, da es eine Aufsichtsbehörde für öffentliche Stellen des Landes und eine andere für nicht-öffentliche Stellen gibt. In der Schweiz, sind die Kantone für die Einhaltung des Datenschutzrechts selbst verantwortlich und folglich nicht dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, der die Einhaltung auf Bundesebene prüft, unterstellt.

Eine große Diskrepanz stellt ebenso dar, dass im Datenschutzrecht der Schweiz neben der Auskunftspflicht eine Informationspflicht nach Art. 14 und 18a Bundesgesetz über den Datenschutz (DSG) besteht. Demnach ist der Inhaber einer Datensammlung, wenn er schützenswerte Personendaten oder Personenprofile einer Privatperson bearbeitet, nicht nur bei Nachfrage durch den Betroffenen verpflichtet, diesem Auskunft über die Verarbeitung seiner Daten zu geben, sondern muss den Betroffen aktiv darüber informieren, das seine Daten bearbeitet werden.  Zwar sieht auch § 33 BDSG eine gewisse Informationspflicht vor, allerdings nur, wenn personenbezogene Daten zum ersten Mal gespeichert oder übermittelt werden. Die Benachrichtigung kann folglich bei weiterer Datenspeicherung oder Datenübermittlung entfallen. Der Grund ist, dass mit der ersten Benachrichtigung der Betroffene über die Erhebung bzw. Übermittlung informiert wurde und in der Lage ist, weitere Informationen mittels Auskunftsrecht zu erfragen.

Die Datenschutz-Grundverordnung, die den Datenschutz innerhalb der EU vereinheitlichen soll, sieht in Art. 13 und 14 ebenfalls Informationspflichten vor. Anders als im Bundesdatenschutzgesetz findet in der DS-GVO eine Trennung zwischen der Informationspflicht bei Erhebung beim Betroffenen (Art. 13) und der Informationspflicht bei Erhebung bei der nicht betroffenen Person (Art. 14) statt. Die DS-GVO sieht dabei unter anderem einen größeren Umfang an Informationen vor, die dem Betroffenen mitgeteilt werden sollen. Zum Beispiel soll der Betroffene die Kontaktdaten des Datenschutzbeauftragten erhalten. Des Weiteren sieht die DS-GVO im Vergleich zum BDSG weniger Ausnahmen vor, wann keine Informationspflicht besteht.

Datentransfer zwischen Deutschland und der Schweiz – Datenverarbeitung (respektive Datenübermittlung)

Bei der Datenverarbeitung ist für einen Rechtsvergleich ausschlaggebend, wer Auftragsgeber (AG) und Auftragsnehmer (AN) ist. Es bieten sich daher zwei Szenarien.

Beim 1. Szenario befindet sich der Auftraggeber (z. B. ein Bauunternehmen) in Deutschland und der Auftragsnehmer (z. B. IT-Dienstleister) in der Schweiz. Der IT-Dienstleister verarbeitet, um den Auftrag des Bauunternehmens zu erfüllen, personenbezogene Daten bzw. kann nicht ausgeschlossen werden, dass der IT-Dienstleister auf diese Daten zugreifen kann.

Das Bauunternehmen muss prüfen, ob eine Datenübermittlung an den IT-Dienstleister datenschutzkonform ist, da der Auftraggeber weiterhin die Verantwortung für die personenbezogenen Daten trägt und gegenüber dem IT-Dienstleister weisungsbefugt ist.

Hätte der IT-Dienstleister seinen Sitz innerhalb der EU/des EWR, so würde die Fiktion der „Nicht-Übermittlung“ greifen. Das Bauunternehmen müsste lediglich einen Vertrag zur Auftragsdatenverarbeitung (ADV) mit dem IT-Dienstleister abschließen und prüfen bzw. durch den internen/externen Datenschutzbeauftragten prüfen lassen, ob der IT-Dienstleister personenbezogene Daten ausreichend schützt.

Bei der Übermittlung an den IT-Dienstleister mit Sitz in der Schweiz greift die Fiktion der „Nicht-Übermittlung“ nicht. Die Übermittlung an den IT-Dienstleister wird auch tatsächlich als Übermittlung eingestuft, wodurch das Bauunternehmen prüfen sollte, ob eine Rechtsgrundlage vorliegt.  Ist dies nicht der Fall sollten informierte Einwilligungen der Betroffenen eingeholt werden.

Neben der Prüfung, ob eine Erlaubnisnorm für die Übermittlung vorliegt, sollte das Bauunternehmen kontrollieren, ob ein angemessenes Datenschutzniveau im Drittland herrscht. Laut der EU-Kommission hat die Schweiz ein angemessenes Datenschutzniveau.

Im 2. Szenario tauschen der AN und AG die Rollen. Das Bauunternehmen (AG) befindet sich jetzt in der Schweiz und der IT-Dienstleister (AN) hat seinen Sitz in Deutschland.

Die Datenübermittlung aus der Schweiz ins Ausland wird in Art. 6 Abs. 1 Bundesgesetz über den Datenschutz(DSG) geregelt, dabei darf unter anderem eine Übermittelung bzw. die Bekanntgabe personenbezogener Daten ins Ausland erfolgen, wenn die Persönlichkeit des Betroffenen nicht schwerwiegend gefährdet wird. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte aktualisiert laufend eine Liste, die aufzeigt, welche Staaten über einen geeigneten Schutz verfügen.

Deutschland verfügt, entsprechend dieser Liste, über einen geeigneten Schutz. Datenübermittlung an Staaten, die keinen geeigneten Schutz aufweisen, dürfen nur unter den in Art. 6 Abs. 2 DSG benannten Bedingungen übermittelt werden. Eine Bedingung ist zum Beispiel die informierte Einwilligung des Betroffenen.

Datenschutz in Deutschland und Schweiz – Vergleich der Regelungen zu den Technischen und organisatorischen Maßnahmen (TOM)

In Deutschland wie auch in der Schweiz werden technische und organisatorische Maßnahmen (TOM) angewandt, um die Datensicherheit zu gewähren. In beiden Ländern gibt es diesbezüglich ähnliche Regelungen, welche die folgende Tabelle zusammenfasst:

   Vergleichbare gesetzliche Regelungen
Deutsche Regelung
Zutrittskontrolle§ 9 BDSG Anlage Nr.1ZugangskontrolleArt. 9 Abs. 1a Verordnung zum Bundesgesetz über den Datenschutz (VDSG)
Zugangskontrolle§ 9 BDSG Anlage Nr. 2BenutzerkontrolleArt. 9 Abs. 1f VDSG
Zugriffskontrolle§ 9 BDSG Anlage Nr. 3Personendatenträgerkontrolle, Speicherkontrolle, ZugriffskontrolleArt. 9 Abs. 1b,e,g VDSG
Weitergabekontrolle§ 9 BDSG Anlage Nr. 4Transportkontrolle, BekanntgabekontrolleArt. 9 Abs. 1c,d VDSG
EingangskontrolleArt. 9 BDSG Anlage Nr. 5EingabekontrolleArt. 9 Abs. 1h VDSG
Auftragskontrolle§ 9 BDSG Anlage Nr. 6    Auftragsgeber muss sich vergewissern, dass Dritter die Datensicherheit gewährleistetArt. 10a Abs. 2 DSG
Verfügbarkeitskontrolle§ 9 BDSG Anlage Nr. 7Keine vergleichbare Regelung im DSG. Sicherstellung der Verfügbarkeitskontrolle, durch allgemeine Maßnahmen möglichArt. 8 Abs. 1 VDSG
Trennungskontrolle§ 9 BDSG Anlage Nr. 8Keine vergleichbare Regelung im DSG.Möglichkeit der Festlegung durch § 10 a Abs. 1 DSG

Datenschutz in Deutschland und Schweiz – Datenschutzverantwortlicher (Schweiz) und betrieblicher Datenschutzbeauftragter (Deutschland)

Das deutsche Datenschutzrecht schreibt im § 4 f BDSG unter bestimmten Voraussetzungen die Bestellung eines „Datenschutzbeauftragten“ für öffentliche oder nicht-öffentliche Stellen vor. Eine solche Pflicht kann dem Datenschutzrecht der Schweiz nicht entnommen werden, vielmehr steht es einer Organisation frei, nach Art. 12a VDSG einen betrieblichen Datenschutzverantwortlichen zu bestellen. Nimmt ein Unternehmen in der Schweiz die Möglichkeit wahr und bestellt einen betrieblichen Datenschutzbeauftragten bzw. Datenschutzverantwortlichen, so entfällt die Anmeldung der Datensammlung nach § 11 Abs. 5e DSG. Die Entscheidung, ob ein interner (betrieblicher) oder externer Datenschutzverantwortlicher bzw. Datenschutzbeauftragter bestellt wird, können „verantwortliche Stellen“ – sowohl Öffentliche als auch Nicht-Öffentliche – selbst treffen.

Sowohl der Interne als auch der externe Datenschutzverantwortliche bzw. Datenschutzbeauftragte haben ihre Vor- und Nachteile. Zwar ist der interne Datenschutzverantwortliche / Datenschutzbeauftragte mit den internen Prozessen der Organisation besser vertraut, allerdings bringt der externe Datenschutzverantwortliche / Datenschutzbeauftragte mehr Erfahrung im Datenschutz mit, betrachtet einzelne Themen objektiver und verfügt nicht über den besonderen Kündigungsschutz eines internen Datenschutzbeauftragten. Gerade in Deutschland sind viele Unternehmen von diesem besonderen und nachwirkenden Kündigungsschutz des Datenschutzbeauftragten zumeist nicht gerade angetan. In international operierenden Unternehmen bei denen z. B. ein Sitz in der Schweiz und Deutschland vorliegt, wird die Funktion zumeist einheitlich als „Data Protection Officer“ bezeichnet.

Fazit

Die zunehmende Globalisierung und Digitalisierung erfordert eine erhöhte Beachtung des Datenschutzes. Gerade bei der Thematik „Datentransfer“ bzw. „Datenübermittlung“ in Drittländer ist besondere Vorsicht geboten. Der Datenschutz in Deutschland und der Schweiz zeigt, dass trotz der geographischen Nähe datenschutzrechtliche Unterschiede bestehen, die zu beachten sind.

Die Einhaltung und Umsetzung des Datenschutzes ist für Organisationen mit einem hohen Zeitaufwand, Arbeitsaufwand und Kosten verbunden. Aus diesem Grund sollte eine qualifizierte Person im Bereich des Datenschutzes eingesetzt werden. Zumal in Deutschland i. d. R. die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Vorwiegend kann bei der Problematik mit den datenschutzrechtlichen Regelungsgebieten in Drittländern ein „externer Datenschutzbeauftragter“ im Vergleich zum „internen (betrieblichen) Datenschutzbeauftragten“ von Vorteil sein. Ein externer Datenschutzbeauftragter kann neben der erforderlichen Fachkunde und Zuverlässigkeit durch Erfahrung in sämtlichen Bereichen des Datenschutzes punkten.  Zudem ist ein externer Datenschutzbeauftragter durch seine ausschließliche Tätigkeit im Datenschutz fachlich deutlich besser aufgestellt und kann sich im Zweifel in neue Problemstellungen oder individuelle Sonderanforderungen nachhaltiger eindenken.

Ein externer Datenschutzbeauftragter, externer Datenschutzverantwortlicher oder Data Protection Officer unterstützt und berät die verantwortlichen Stellen bei allen Themen rund um den Datenschutz, unter anderem werden Schulungen durchgeführt, es wird bei der Erstellung von Betriebsvereinbarungen / Dienstvereinbarungen / Richtlinien geholfen, es werden interne Datenverarbeitungsprozesse geprüft und Unterstützung bei der Erstellung von Verfahrensverzeichnissen wird offeriert.

Ähnliche Beiträge