Lexipedia

AS 2009 1793

Briefwechsel vom 1. und 9. Dezember 2008 zwischen der Schweiz und den Vereinigten Staaten von Amerika über die Schaffung eines Datenschutzrahmenwerkes zur Übermittlung von personenbezogenen Daten in die Vereinigten Staaten von Amerika

Briefwechsel vom 1. und 9. Dezember 2008 zwischen der Schweiz und den Vereinigten Staaten von Amerika über die Schaffung eines Datenschutzrahmenwerkes zur Übermittlung von personenbezogenen Daten in die Vereinigten Staaten von Amerika

In Kraft getreten durch Notenaustausch am 16. Februar 2009

Übersetzung1

Eidgenössischer Datenschutz- Bern, den 9. Dezember 2008 und Öffentlichkeitsbeauftragter EDÖB Der Beauftragte

Frau Michelle O’Neill Deputy Under Secretary for International Trade United States Department of Commerce Washington, D.C. 20230

Sehr geehrte Frau O’Neill, Wir bestätigen den Empfang Ihres Briefes vom 1. Dezember 2008 mit dem nachfol- genden Inhalt:

«Ich beehre mich, Ihnen die Grundsätze des «sicheren Hafens» zum Datenschutz zwischen den USA und der Schweiz sowie die häufig gestellten Fragen (FAQ) im Hinblick auf deren Umsetzung, den Überblick über die Möglichkeiten zur Durchset- zung des «sicheren Hafens» und ein Memorandum zu Datenschutz und Schadener- satz, rechtliche Ermächtigungen, Fusionen und Übernahmen im Rahmen des U.S. amerikanischen Rechts zu übermitteln. All diese Dokumente wurden durch das U.S. Handelsdepartement am 1. Dezember 2008 veröffentlicht2. Ich sende Ihnen zudem Briefe der zuständigen staatlichen Instanzen in den Vereinigten Staaten, die berech- tigt sind, bei Nichtbefolgung der Grundsätze des «sicheren Hafens» zum Daten- schutz, Beschwerden zu prüfen. Die Grundsätze des «sicheren Hafens» zum Datenschutz zwischen den USA und der Schweiz sind Ausdruck unseres gemeinsamen Ziels, den Datenschutz für unsere Staatsbürger zu verbessern und die Rechtssicherheit für Unternehmen in beiden Ländern zu verstärken. Sie berücksichtigen dabei den Umstand, dass die Übermitt- lung von personenbezogenen Daten aus der Schweiz in ein Drittland nur dann statt-

SR 0.235.233.6

1 Übersetzung des englischen Originaltextes.

2 Diese Dokumente können beim Eidgenössischen Datenschutz- und Öffentlichkeits-

beauftragten auf Englisch bezogen werden.

2008-2898 1793

Schaffung eines Datenschutzrahmenwerkes zur Übermittlung AS 2009 von personenbezogenen Daten in die Vereinigten Staaten

finden kann, wenn das jeweilige Drittland ein angemessenes Schutzniveau gewähr- leistet. Das Departement veröffentlicht im Rahmen seiner Befugnis, in Zusammenarbeit mit der Schweiz, die beiliegenden Dokumente, um den internationalen Handel zu för- dern und zu entwickeln. Basierend auf diesem Brief und diesen Dokumenten, beab- sichtigt die Schweiz die Angemessenheit des Schutzes anzuerkennen, welcher durch die umgesetzten Grundsätze des «sicheren Hafens» in Übereinstimmung mit den FAQ bereitgestellt wird, da dieser den Anforderungen gemäss Art. 6 des Bundes- gesetz über den Datenschutz genügt. Andere Bestimmungen des Gesetzes, welche die Datenbearbeitung in der Schweiz betreffen, bleiben hiervon unberührt. Beide, die Grundsätze des «sicheren Hafens» und die FAQ («die Grundsätze») sollen U.S. Unternehmen und anderen U.S. Organisationen als verbindliche Leit- linien dienen, welche personenbezogene Daten von der Schweiz erhalten und wün- schen, eine berechenbare Basis für die Aufrechterhaltung einer solchen Übermitt- lung zu etablieren. Der Überblick über die Durchsetzungsmöglichkeiten und weitere unterstützende Dokumente bezwecken zu erklären, wie die U.S. Durchsetzungsme- chanismen, welche entweder auf Gesetz und Bestimmungen oder auf Selbstregulie- rung beruhen, den Anforderungen der Durchsetzungsgrundsätze genügen und wie diese gewährleisten, dass die Selbstverpflichtung einer Organisation, die Grundsätze einzuhalten, effektiv durchgesetzt werden kann. Die Dokumente des «sicheren Hafens» müssen vor dem Hintergrund der U.S. Gesetzgebung und dessen bekannten Besonderheiten, wie Gruppenklagen und Erfolgshonorar interpretiert werden. U.S. Unternehmen und andere U.S. Organisationen können in den Genuss der Vor- teile des «sicheren Hafens» kommen, indem sie selbst bescheinigen, die Grundsätze einzuhalten. Das Handelsdepartement beabsichtigt, eine Liste bereitstellen zu lassen, die alle Organisationen enthält, welche die Einhaltung der Grundsätze bescheinigen. Die Liste und die eingegangenen Mitteilungen der Organisationen, welche Informa- tionen im Hinblick auf die Umsetzung der Grundsätze enthalten, sind öffentlich zugänglich zu machen, wie auch jede ordentliche und endgültige ablehnende Fest- stellung, welche durch eine U.S. Vollstreckungsbehörde getroffen und dem Han- delsdepartement (oder seinen Beauftragten) angezeigt wurde, dass eine Organisation

des «sicheren Hafens» fortgesetzt gegen die Grundsätze verstossen hat. Verstösst eine Organisation, deren Datenschutzmassnahmen ganz oder teilweise auf Selbst- regulierung beruhen, gegen diese Selbstregulierung, muss dieser Verstoss auch gemäss Abschnitt 5 des Federal Trade Commission Act zur Verhinderung unlauterer und irreführender Praktiken oder ähnlicher Rechtsvorschriften, wie sie in den Grundsätzen dargelegt sind, verfolgbar sein. Die Grundsätze sind nur auf Unternehmen und Organisationen anwendbar, welche in den Zuständigkeitsbereich der Federal Trade Commission (FTC) oder des Trans- portministeriums (DOT) fallen und welche die umgesetzten Grundsätze in Über- einstimmung mit den FAQ einhalten. Daher sind die Grundsätze nicht auf Finanz- institute, einschliesslich Banken, Spar- und Darlehenskassen sowie Kreditgenossen- schaften; Betreiber öffentlicher Telekommunikationsnetze und zwischenstaatlich tätige Transportunternehmen; Vieh- und Fleischhändler bzw. Fleischwarenprodu- zenten sowie alle anderen Rechtsträger oder Handlungen, welche von der Amts-

Schaffung eines Datenschutzrahmenwerkes zur Übermittlung AS 2009 von personenbezogenen Daten in die Vereinigten Staaten

gewalt der FTC bezüglich unfaire und irreführenden Handlungen oder Praktiken ausgenommen sind oder die nicht unter den Zuständigkeitsbereich des DOT fallen, anwendbar (Annex III). Der Rahmen, welcher durch die umgesetzten Grundsätze des «sicheren Hafens» Schweiz-USA in Übereinstimmung mit den FAQ geschaffen wird, wird möglicher- weise im Licht der Erfahrungen und relevanten Entwicklungen überprüft werden müssen. Das Handelsdepartement und der Eidgenössische Datenschutz- und Öffent- lichkeitsbeauftragte werden sich im Hinblick auf jede vorgeschlagene Änderung der Grundsätze oder der weiteren Dokumente der Leitlinien beraten. Der Rahmen, welcher durch die Grundsätze des «sicheren Hafens» Schweiz-USA in geschaffen wird, tritt nach Bekanntgabe des Abschlusses aller internen gesetzlichen Verfahren in Kraft und bleibt in Kraft bis entweder die Schweiz oder die Vereinigten Staaten den jeweils anderen schriftlich die Absicht unterbreiten, das Rahmenwerk nicht weiterzuführen. Eine solche Mitteilung sollte sechs Monate vor dem beabsich- tigten Nichtfortsetzungsdatum unterbreitet werden. Anhang I Grundsätze des «sicheren Hafens» zum Datenschutz zwischen den USA und der Schweiz Anhang II Häufig gestellte Fragen (FAQ) Anhang III Überblick über die Möglichkeiten der Durchsetzung Anhang IV Datenschutz und Schadenersatz, rechtliche Ermächtigungen, Fusionen und Übernahmen im Rahmen des U.S.-amerikanischen Rechts Anhang V Staatliche Instanzen in den USA, die berechtigt sind, Beschwerden zu prüfen»

Wir teilen den Inhalt Ihres Briefes und anerkennen, dass in seinem Anwendungs- bereich der durch die umgesetzten Grundsätze des «sicheren Hafens» in Überein- stimmung mit den FAQ geschaffene Rahmen, einen Rechtrahmen schafft, der einen adäquaten Datenschutz gewährleistet. Aus diesem Grund werden U.S. Unternehmen, welche sich unter den Grundsätzen des «sicheren Hafens» zum Datenschutz zwi- schen den USA und der Schweiz selbst-zertifizieren, als solche angesehen, die über ein angemessenes Datenschutzniveau im Sinne von Artikel 6 Absatz 1 DSG (Bun- desgesetz über den Datenschutz3) verfügen. Zudem weisen wir Sie darauf hin, dass der Eidgenössische Datenschutz- und Öffent- lichkeitsbeauftragte, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten, empfehlen kann, die Datenübermittlung für ein Unter- nehmen oder eine andere Organisation auszusetzen, die den Grundsätzen, die ent- sprechend den FAQ (die Grundsätze) umgesetzt wurden, beigetreten ist, wenn die zuständige Behörde in den Vereinigten Staaten oder eine unabhängige Rekursinstanz feststellt, dass die betreffende Organisation die Grundsätze, die entsprechend den FAQ umgesetzt wurden, verletzt oder eine hohe Wahrscheinlichkeit besteht, dass die

3 SR 235.1

Schaffung eines Datenschutzrahmenwerkes zur Übermittlung AS 2009 von personenbezogenen Daten in die Vereinigten Staaten

Grundsätze verletzt werden, wenn Grund zur Annahme besteht, dass die jeweilige Durchsetzungsinstanz nicht rechtzeitig angemessene Massnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen; wenn die fortgesetzte Datenübermittlung für die betroffenen Personen das unmittelbar bevorstehende Risiko eines schweren Schadens schaffen würde, und wenn die zuständigen Schweizer Behörden die Orga- nisation unter den gegebenen Umständen in angemessener Weise unterrichtet und ihr Gelegenheit zur Stellungnahme gegeben wird. Die Empfehlung der Aussetzung würde enden, sobald sichergestellt ist, dass die Grundsätze, die entsprechend den FAQ umgesetzt wurden, befolgt werden, und die zuständigen Schweizer Behörden davon in Kenntnis gesetzt sind. Ergeben Informationen, dass eine der für die Einhal- tung der Grundsätze in den Vereinigten Staaten verantwortlichen Einrichtungen ihrer Aufgabe nicht wirkungsvoll nachkommt, so informiert die Schweizer Regie- rung das Handelsdepartement der USA und schlägt, wenn nötig, im Hinblick auf die Aufhebung, Aussetzung oder Beschränkung des Geltungsbereichs dieser Entschei- dung entsprechende Massnahmen vor.

Wir danken Ihnen für Ihre Zusammenarbeit in dieser Angelegenheit.

Mit freundlichen Grüssen

Hans-Peter Thür

Briefwechsel vom 1. und 9. Dezember 2008 zwischen der Schweiz und den Vereinigten Staaten von Amerika über die Schaffung eines Datenschutzrahmenwerkes zur Übermittlung von personenbezogenen Daten in die Vereinigten Staaten von Amerika | Lexipedia | Lexipedia