Datenschutzvergleich Deutschland & Schweiz

Datenschutz: Drittländer als Risiko

22.01.2016 von Regina Mühlich
Global agierend, übermitteln immer mehr Firmen personenbezogene Daten ins Ausland - oftmals werden Daten ungedanks und ganz selbstvertändlich transferiert, ohne die datenschutzrechtlichen Rahmenbedingungen des betroffenen Landes näher zu kennen oder zu hinterfragen. Was bleibt? Das Risiko eines Gesetzesverstoßes, der empfindlich geahndet wird.

Europäische Union hin, Europäische Union her - Geht es um Datentransfers ins Ausland, bietet das vereinte Europa Vorteile. Die Übermittlung von Daten in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) wie Norwegen, Island und Liechtenstein, gestalten sich darüber hinaus unproblematisch (vgl. "sonstige ausländische Stellen", § 4 b Abs 2 S. 2 BDSG). Problematisch sind Datentransfers in Länder die weder der EU, noch dem EWR angehören. Sie werden als sogenannte "Drittländer" betitelt.

Drittländer mit angemessenem Datenschutzniveau

Was ist ein Drittland? "Ein Drittland ist ein Staat, in dem ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte." Das Bundesdatenschutzgesetz (BDSG) sieht für die Datenübermittlungen in ein solches Drittland besondere Regelungen vor. Eine Datenübermittlung ins Nicht-EU-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder ein angemessenes Datenschutzniveau im Sinne des § 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird.

Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere, eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach §§ 28 ff. BDSG).

Schweiz vs. Deutschland im Datenschutzvergleich

Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert aber nach Auffassung der EU-Kommission bei der Verarbeitung von personenbezogenen Daten einen adäquaten Datenschutz. Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige, kantonale Datenschutzgesetz anwendbar. Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den "Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten". Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone selbst zuständig. Sie sind unabhängig und dem Eidgenössischem Datenschutzbeauftragten nicht unterstellt.

Ein großer Unterschied zu den Regelungen in Deutschland ist, dass in der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht existiert (Art. 14 und Art. 18a): Werden Personendaten von Bundesorganen bearbeitet oder besonders schützenswerte Personendaten oder Persönlichkeitsprofile von privaten Personen bearbeitet, dann müssen grundsätzlich die betroffenen Personen aktiv durch den Inhaber der Datensammlung informiert werden. Ähnlich wie es in Deutschland und auch in Österreich definiert ist, sind auch in der Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d), den besonders schützenswerten Daten gleichgestellt.

Datenverarbeitung: Länderspezifische Unterschiede

Für die Verarbeitung von personenbezogenen Daten deutscher Auftraggeber gilt das Schweizer Datenschutzgesetz (DSG). Die Weitergabe von Daten ist nach deutschem Recht immer eine "Übermittlung" an Dritte (§ 3 Abs. 8 i. V. m. § 3 Abs. 4 BDSG). Aufgrund der nationalen Datenschutzgesetze ist die Rückübermittlung der Daten an den deutschen Auftraggeber, welcher ein angemessenes Datenschutzniveau gewährleistet (Art. 6 DSG, § 4 b BDSG) nach Schweizer Recht unproblematisch und zulässig. Der Schweizer Auftragnehmer (Dienstleister) ist nach Art. 7 DSG verpflichtet, personenbezogene Daten durch entsprechende technische und organisatorische Maßnahmen zu schützen. Dies wird mit Art. 8 - 10 DSG konkretisiert.

Die Auftragsdatenverarbeitung nach dem deutschen BDSG (§ 11 BDSG) entspricht Art. 10 a DSG. Die Verarbeitung an Dritte darf erfolgen, wenn die personenbezogenen Daten nur so verarbeitet werden, wie der Auftraggeber es selbst tun darf. Art. 10 a Abs. 3 DSG besagt, dass der Dritte dieselben Rechtfertigungsgründe wie der Auftraggeber geltend machen kann. Art. 13 Abs. 2 DSG regelt die Rechtfertigungsgründe allerdings nicht abschließend. Er enthält vielmehr einen Beispielkatalog.

Technische und organisatorische Maßnahmen im Ländervergleich

Bei der Bereitstellung technischer und organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten kennen das Schweizer DSG und das deutsche BDSG vergleichbar gesetzliche Anforderungen:

Die TOMs zur Gewährleistung des Datenschutzes und der Datensicherheit sind im BDSG sowie in der Verordnung zum DSG geregelt. Weitestgehend stimmen die Regularien beider Länder überein:

Datenschutzverantwortlicher & Betrieblicher Datenschutzbeauftragter

Ähnlich wie im DSG 2000 (österreichisches Datenschutzgesetz) gibt es in der Schweiz keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzverantwortlichen. Das Schweizer Recht kennt in Art. 12a VDSG die Möglichkeit, einen betrieblichen Datenschutzverantwortlichen zu bestellen. Mit der Bestellung wird das Unternehmen von seiner Pflicht befreit, seine Datensammlungen gemäß Art. 11 Abs. 5e DSG anzumelden. Beide Gesetze kennen desweiteren die Verpflichtung für Personen, die personenbezogene Daten verarbeiten: Art. 8 Abs. 1 VDSG (Vertraulichkeit, Verfügbarkeit, Integrität) und § 5 BDSG (Datengeheimnis).

Die Schweiz hatte 2008 ein bilaterales Rahmenabkommen zur Datenübermittlung in die USA geschlossen - ein sogenanntes "Safe Harbor"-Abkommen. Diese Vereinbarung ist vom EuGH-Urteil vom 06. Oktober 2015 betroffen und wird in Frage gestellt.

Datenschutz-Tipps für IT-Abteilungen
9 Tipps für den Datenschutz
Ein paar einfache Grundregeln, zusammengestellt vom Datenschutz-Anbieter Varonis, erhöhen die Online-Sicherheit.
1. Wo sind die Daten?
Informieren Sie sich, wo Ihre persönlichen Daten gespeichert sind, wer Zugang dazu hat und was Service-Provider mit diesen Daten anfangen können, ohne Sie um Erlaubnis fragen zu müssen.
2. Sensible Daten nicht per Mail
Schicken Sie niemals sensible Daten, wie etwa Kreditkarteninformationen, per Email. Hackern ist es ein Leichtes, an unverschlüsselte Daten heranzukommen.
3. Starke Passwörter nutzen
Starke Passwörter sind der beste Schutz: Ein Mix aus Ziffern, Buchstaben und Sonderzeichen sind der beste Schutz. Und ein neues Passwort für jede Seite. Die folgenden Tipps gelten für die Unternehmensseite.
4. Authentifikation
Das können Unternehmen tun: Sorgen Sie dafür, dass sich die Mitarbeiter möglichst über eine zweistufige Anmeldung in den Account einloggen. So haben Sie mehr Kontrolle. Das ist teuer, lohnt sich aber. Das gilt nur Firmen-intern, denn oft schreckt eine zweistufige Authentifizierung ab.
5. Authorisierung
Jeder Mitarbeiter sollte nur so viele Zugänge haben wie nötig. Statten Sie die Kollegen nicht pauschal mit Berechtigungen aus – aber achten Sie darauf, dass das Zuweisen neuer Berechtigungen schnell und unkompliziert ist. Sie wollen die Mitarbeiter nicht durch langsame Prozesse verärgern und aufhalten.
7. Aufmerksamkeit
Aktivitäten sollten ab und zu auf ungewöhnliche Verhaltensweisen analysiert werden. Starke Aktivität nachts um eins? So etwas sollte überprüft werden. Mit ein wenig Achtsamkeit kommen Sie Hackern oder Spyware schnell auf die Spur.
8. Nur auf geschützten Plattformen unterwegs
Mitarbeiter sollten nur geschützte und authorisierte Plattformen verwenden. Das stellt CIOs vor große Probleme. Oft beachten Mitarbeiter die BYOD-Regeln nicht oder lagern wichtige Daten auf externen Servern. Das kann schnell zu Schaden führen. Erklären Sie Ihren Mitarbeiter wie wichtig es ist, nichts auf unauthorisierten Plattformen zu lagern.
9. Die Balance finden
Schaffen Sie eine Balance zwischen Produktivität und Sicherheit. Mitarbeiter dürfen nicht durch umständliche oder unpraktische Sicherheitsmaßnahmen daran gehindert werden, effizient und modern zu arbeiten.
6. Zugänge prüfen
Jeder Zugang zu verschiedenen Systemen muss überwacht werden. Achten Sie darauf, ob sich nicht vielleicht zu viele Mitarbeiter anmelden. Gleichzeitig muss die Privatsphäre der Mitarbeiter geschützt werden. Der Sicherheitsbeauftragte sollte sich daher mit dem Betriebsrat abstimmen, wie viel Kontrolle erlaubt ist. Und überprüfen Sie gelegentlich, ob alle Zugänge noch aktuell sind.

Datenschutzrisiko Drittländer: Beratung schafft Sicherheit

Bei der Datenübermittlung in sogenannte Drittländer gibt es viele Einzelheiten zu beachten. Es spielt eine Rolle, ob das Drittland über ein angemessenes Datenschutzniveau verfügt, in welche Richtung Daten fließen, woher diese kommen und ganz besonders: auf die individuelle Rechtslage im Drittland. Damit Unternehmen in diesem komplexen Umfeld keinen Schiffbruch erleiden und datenschutzrechtlich auf der sicheren Seite sind, empfiehlt sich eine professionelle Beratung und Betreuung durch einen Datenschutzbeauftragten. Er kennt die Notwendigkeiten und Rechtslagen der entsprechenden Länder und vermeidet auf diese Weise Wissenslücken, Rechtsbrüche und unnötigen juristischen Ärger. (fm)