Datenschutzanforderungen bleiben bestehen

Freiburger Datenschutzbehörde sagt "Ja, aber …" zum neuen Datenschutzrahmen zwischen Schweiz und USA

Uhr
von René Jaun und gal

Seit Mitte September 2024 figurieren die Vereinigten Staaten auf der Schweizer Liste der Länder mit einem angemessenen Datenschutzniveau. Die Datenschutzbehörde des Kantons Freiburg erinnert jedoch daran, dass die im kantonalen Datenschutzgesetz verankerten Regeln zur Datenauslagerung weiterhin gültig bleiben.

(Source: Brandon Day/Unsplash.com)
(Source: Brandon Day/Unsplash.com)

Seit dem 15. September 2024 ist es offiziell: Die USA gelten für die Schweiz als Land mit angemessenem Datenschutz. Einen Monat zuvor schon entschied der Bundesrat, die Vereinigten Staaten auf die entsprechende Länderliste zu setzen. Hintergrund ist ein neuer Datenschutzrahmen, genannt Swiss-U.S. Data Privacy Framework, hat aber auch mit einem neu eingeführten US-Datenschutzgericht zu tun, wie Sie hier lesen können.

Doch für Organisationen, die ihre Daten etwa in der Cloud eines US-amerikanischen Unternehmens speichern wollen, dürfte sich wenig ändern. Dieser Meinung ist zumindest die Behörde für Öffentlichkeit, Datenschutz und Mediation des Kantons Freiburg. Sie schreibt in einer Mitteilung von "begrenzten Auswirkungen auf Auslagerungsmassnahmen".

Tatsächlich könne "die Übermittlung von personenbezogenen Daten aus der Schweiz an die gemäss den Grundsätzen des neuen Datenschutzrahmens zertifizierten US-Unternehmen zugelassen werden", erklärt die Behörde. Allerdings müssten im Falle einer Auslagerung die Bedingungen des Datenschutzes eingehalten werden.

Dazu verweist die Behörde auf das kantonale Datenschutzgesetz und die darin verankerten Bestimmungen zur Datenauslagerung. Laut dessen Artikel 19 muss der Auftragsbearbeiter (also zum Beispiel der Cloud-Anbieter) vertraglich unter anderem dazu verpflichtet werden, "den Verantwortlichen unverzüglich zu informieren, wenn er aufgrund eines ausländischen Gesetzes oder eines richterlichen Entscheids die Daten einer ausländischen Behörde bekanntgeben muss". Besonders schützenswerte Daten dürfen nur dann ausgelagert werden, "wenn die Vertraulichkeit gegenüber dem Auftragsbearbeiter sichergestellt ist, so dass dieser auf deren Inhalt keinen Zugriff hat", heisst es in Artikel 21.

 

Datenauslagerungen in die Cloud halten hiesige Datenschutzbehörden ständig auf Trab. Anlässlich der Präsentation ihres Geschäftsberichtes im Juni 2024 äusserte sich die Zürcher Datenschutzbeauftragte Dominika Blonski klar und deutlich: "Öffentliche Organe müssen auch bei Cloud-Lösungen sicherstellen, dass der Datenschutz so gewährleistet ist, wie wenn sie die Daten selbst bearbeiten würden. So sind gesetzliche Schweigepflichten wie etwa das Arztgeheimnis oder das Steuergeheimnis einzuhalten", sagte sie. Welche Services sie lobt und wo sie Mängel feststellte, lesen Sie hier.

 

Webcode
gwkgLKzD