Auswirkungen des neuen Datenschutzrahmens zwischen der Schweiz und der USA auf kantonale Organe
Der Bundesrat kam zum Schluss, dass der neue Datenschutzrahmen zwischen der Schweiz und den USA einen sicheren Austausch von Personendaten zwischen der Schweiz und zertifizierten US-Organisationen biete. Die Datenschutzbeauftragte hat einen Webartikel publiziert, der aufzeigt, welche Auswirkungen dieser Entscheid auf die kantonalen Organe im Kanton Zürich hat.
Der neue Datenschutzrahmen, der sogenannte Swiss-US Data Privacy Framework, trat am 15. September 2024 mit einer entsprechenden Änderung der Datenschutzverordnung des Bundes (DSV) in Kraft. In der Folge wurde die Datenschutzbeauftragte angefragt, ob die Auslagerung in Cloud-Infrastrukturen, die von US-Unternehmen wie Microsoft gehostet werden, nunmehr ohne zusätzliche Massnahmen zulässig sei. In einem Webartikel hat die Datenschutzbeauftragte dargelegt, dass diese Beurteilung für öffentliche Organe relevant ist, wenn sie Personendaten an zertifizierte Organisationen in den USA bekanntgeben. Unabhängig davon ist bei der Auslagerung der Bearbeitung von Personendaten an ein US-Unternehmen die Datenbearbeitung durch Dritte (Auslagerung) zu prüfen. Dies ist zum Beispiel im Rahmen der Nutzung einer Cloud der Fall.
Das Swiss-US Data Privacy Framework ist kein bilateraler Vertrag zwischen der Schweiz und den USA. Es handelt sich um einseitige Regelungen der USA, die zertifizierte US-Unternehmen zur Anwendung einzelner Datenschutzgrundsätze verpflichten.
Bei der Auslagerung der Bearbeitung von Personendaten an ein US-Unternehmen sind unabhängig vom Swiss-US Data Privacy Framework die kantonalen Vorgaben für die Datenbearbeitung durch Dritte zu prüfen.
Neben dem Swiss-US Data Privacy Framework gelten nach wie vor andere ausländische Gesetze wie der CLOUD Act: Der CLOUD Act verpflichtet US-Clouddienstanbieter, den zuständigen US-Behörden Zugang zu den Daten ihrer Kundinnen und Kunden zu geben, auch wenn diese Daten ausserhalb der USA gespeichert sind. Solche Zugriffe auf Personendaten sind mit dem Datenschutzrecht und dem übergeordneten Schweizerischen Recht nicht vereinbar. Dieses Vorgehen verstösst gegen den Ordre Public der Schweiz, weil es eine Umgehung des internationalen Rechtshilfewegs darstellt.
Eine Auslagerung der Bearbeitung von besonderen Personendaten an US-Unternehmen ist deshalb nach wie vor nur möglich, wenn mittels umfassender Verschlüsselung Zugriffe von US-Behörden beziehungsweise die Offenbarung von durch eine besondere Geheimnispflicht geschützten Informationen an Dritte verunmöglicht werden. Diese Bestimmungen gelten unabhängig davon, ob es sich dabei um ein nach Swiss-US Data Privacy Framework zertifiziertes Unternehmen handelt.