0.235.233.6
Briefwechsel vom 1. und 9. Dezember 2008
zwischen der Schweiz und den Vereinigten Staaten von Amerika
über die Schaffung eines Datenschutzrahmenwerkes zur Übermittlung von personenbezogenen Daten in die Vereinigten Staaten von Amerika
In Kraft getreten durch Notenaustausch am 16. Februar 2009
(Stand am 16. Februar 2009)
Übersetzung1
|
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB Der Beauftragte |
Bern, den 9. Dezember 2008 |
|
Frau | |
|
Michelle O’Neill | |
|
Deputy Under Secretary for International Trade | |
|
United States Department of Commerce | |
|
Washington, D.C. 20230 |
Sehr geehrte Frau O’Neill,
Wir bestätigen den Empfang Ihres Briefes vom 1. Dezember 2008 mit dem nachfolgenden Inhalt:
«Ich beehre mich, Ihnen die Grundsätze des «sicheren Hafens» zum Datenschutz zwischen den USA und der Schweiz sowie die häufig gestellten Fragen (FAQ) im Hinblick auf deren Umsetzung, den Überblick über die Möglichkeiten zur Durchsetzung des «sicheren Hafens» und ein Memorandum zu Datenschutz und Schadenersatz, rechtliche Ermächtigungen, Fusionen und Übernahmen im Rahmen des U.S. amerikanischen Rechts zu übermitteln. All diese Dokumente wurden durch das U.S. Handelsdepartement am 1. Dezember 2008 veröffentlicht2. Ich sende Ihnen zudem Briefe der zuständigen staatlichen Instanzen in den Vereinigten Staaten, die berechtigt sind, bei Nichtbefolgung der Grundsätze des «sicheren Hafens» zum Datenschutz, Beschwerden zu prüfen.
Die Grundsätze des «sicheren Hafens» zum Datenschutz zwischen den USA und der Schweiz sind Ausdruck unseres gemeinsamen Ziels, den Datenschutz für unsere Staatsbürger zu verbessern und die Rechtssicherheit für Unternehmen in beiden Ländern zu verstärken. Sie berücksichtigen dabei den Umstand, dass die Übermittlung von personenbezogenen Daten aus der Schweiz in ein Drittland nur dann stattfinden kann, wenn das jeweilige Drittland ein angemessenes Schutzniveau gewährleistet.
Das Departement veröffentlicht im Rahmen seiner Befugnis, in Zusammenarbeit mit der Schweiz, die beiliegenden Dokumente, um den internationalen Handel zu fördern und zu entwickeln. Basierend auf diesem Brief und diesen Dokumenten, beabsichtigt die Schweiz die Angemessenheit des Schutzes anzuerkennen, welcher durch die umgesetzten Grundsätze des «sicheren Hafens» in Übereinstimmung mit den FAQ bereitgestellt wird, da dieser den Anforderungen gemäss Art. 6 des Bundesgesetz über den Datenschutz genügt. Andere Bestimmungen des Gesetzes, welche die Datenbearbeitung in der Schweiz betreffen, bleiben hiervon unberührt.
Beide, die Grundsätze des «sicheren Hafens» und die FAQ («die Grundsätze») sollen U.S. Unternehmen und anderen U.S. Organisationen als verbindliche Leitlinien dienen, welche personenbezogene Daten von der Schweiz erhalten und wünschen, eine berechenbare Basis für die Aufrechterhaltung einer solchen Übermittlung zu etablieren. Der Überblick über die Durchsetzungsmöglichkeiten und weitere unterstützende Dokumente bezwecken zu erklären, wie die U.S. Durchsetzungsmechanismen, welche entweder auf Gesetz und Bestimmungen oder auf Selbstregulierung beruhen, den Anforderungen der Durchsetzungsgrundsätze genügen und wie diese gewährleisten, dass die Selbstverpflichtung einer Organisation, die Grundsätze einzuhalten, effektiv durchgesetzt werden kann. Die Dokumente des «sicheren Hafens» müssen vor dem Hintergrund der U.S. Gesetzgebung und dessen bekannten Besonderheiten, wie Gruppenklagen und Erfolgshonorar interpretiert werden.
U.S. Unternehmen und andere U.S. Organisationen können in den Genuss der Vorteile des «sicheren Hafens» kommen, indem sie selbst bescheinigen, die Grundsätze einzuhalten. Das Handelsdepartement beabsichtigt, eine Liste bereitstellen zu lassen, die alle Organisationen enthält, welche die Einhaltung der Grundsätze bescheinigen. Die Liste und die eingegangenen Mitteilungen der Organisationen, welche Informationen im Hinblick auf die Umsetzung der Grundsätze enthalten, sind öffentlich zugänglich zu machen, wie auch jede ordentliche und endgültige ablehnende Feststellung, welche durch eine U.S. Vollstreckungsbehörde getroffen und dem Handelsdepartement (oder seinen Beauftragten) angezeigt wurde, dass eine Organisation des «sicheren Hafens» fortgesetzt gegen die Grundsätze verstossen hat. Verstösst eine Organisation, deren Datenschutzmassnahmen ganz oder teilweise auf Selbstregulierung beruhen, gegen diese Selbstregulierung, muss dieser Verstoss auch gemäss Abschnitt 5 des Federal Trade Commission Act zur Verhinderung unlauterer und irreführender Praktiken oder ähnlicher Rechtsvorschriften, wie sie in den Grundsätzen dargelegt sind, verfolgbar sein.
Die Grundsätze sind nur auf Unternehmen und Organisationen anwendbar, welche in den Zuständigkeitsbereich der Federal Trade Commission (FTC) oder des Transportministeriums (DOT) fallen und welche die umgesetzten Grundsätze in Übereinstimmung mit den FAQ einhalten. Daher sind die Grundsätze nicht auf Finanzinstitute, einschliesslich Banken, Spar- und Darlehenskassen sowie Kreditgenossenschaften; Betreiber öffentlicher Telekommunikationsnetze und zwischenstaatlich tätige Transportunternehmen; Vieh- und Fleischhändler bzw. Fleischwarenproduzenten sowie alle anderen Rechtsträger oder Handlungen, welche von der Amtsgewalt der FTC bezüglich unfaire und irreführenden Handlungen oder Praktiken ausgenommen sind oder die nicht unter den Zuständigkeitsbereich des DOT fallen, anwendbar (Annex III).
Der Rahmen, welcher durch die umgesetzten Grundsätze des «sicheren Hafens» Schweiz-USA in Übereinstimmung mit den FAQ geschaffen wird, wird möglicherweise im Licht der Erfahrungen und relevanten Entwicklungen überprüft werden müssen. Das Handelsdepartement und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte werden sich im Hinblick auf jede vorgeschlagene Änderung der Grundsätze oder der weiteren Dokumente der Leitlinien beraten.
Der Rahmen, welcher durch die Grundsätze des «sicheren Hafens» Schweiz-USA in geschaffen wird, tritt nach Bekanntgabe des Abschlusses aller internen gesetzlichen Verfahren in Kraft und bleibt in Kraft bis entweder die Schweiz oder die Vereinigten Staaten den jeweils anderen schriftlich die Absicht unterbreiten, das Rahmenwerk nicht weiterzuführen. Eine solche Mitteilung sollte sechs Monate vor dem beabsichtigten Nichtfortsetzungsdatum unterbreitet werden.
|
Anhang I |
Grundsätze des «sicheren Hafens» zum Datenschutz zwischen den USA und der Schweiz |
|
Anhang II |
Häufig gestellte Fragen (FAQ) |
|
Anhang III |
Überblick über die Möglichkeiten der Durchsetzung |
|
Anhang IV |
Datenschutz und Schadenersatz, rechtliche Ermächtigungen, Fusionen und Übernahmen im Rahmen des U.S.-amerikanischen Rechts |
|
Anhang V |
Staatliche Instanzen in den USA, die berechtigt sind, Beschwerden zu prüfen» |
Wir teilen den Inhalt Ihres Briefes und anerkennen, dass in seinem Anwendungsbereich der durch die umgesetzten Grundsätze des «sicheren Hafens» in Übereinstimmung mit den FAQ geschaffene Rahmen, einen Rechtrahmen schafft, der einen adäquaten Datenschutz gewährleistet. Aus diesem Grund werden U.S. Unternehmen, welche sich unter den Grundsätzen des «sicheren Hafens» zum Datenschutz zwischen den USA und der Schweiz selbst-zertifizieren, als solche angesehen, die über ein angemessenes Datenschutzniveau im Sinne von Artikel 6 Absatz 1 DSG (Bundesgesetz über den Datenschutz3) verfügen.
Zudem weisen wir Sie darauf hin, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten, empfehlen kann, die Datenübermittlung für ein Unternehmen oder eine andere Organisation auszusetzen, die den Grundsätzen, die entsprechend den FAQ (die Grundsätze) umgesetzt wurden, beigetreten ist, wenn die zuständige Behörde in den Vereinigten Staaten oder eine unabhängige Rekursinstanz feststellt, dass die betreffende Organisation die Grundsätze, die entsprechend den FAQ umgesetzt wurden, verletzt oder eine hohe Wahrscheinlichkeit besteht, dass die Grundsätze verletzt werden, wenn Grund zur Annahme besteht, dass die jeweilige Durchsetzungsinstanz nicht rechtzeitig angemessene Massnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen; wenn die fortgesetzte Datenübermittlung für die betroffenen Personen das unmittelbar bevorstehende Risiko eines schweren Schadens schaffen würde, und wenn die zuständigen Schweizer Behörden die Organisation unter den gegebenen Umständen in angemessener Weise unterrichtet und ihr Gelegenheit zur Stellungnahme gegeben wird. Die Empfehlung der Aussetzung würde enden, sobald sichergestellt ist, dass die Grundsätze, die entsprechend den FAQ umgesetzt wurden, befolgt werden, und die zuständigen Schweizer Behörden davon in Kenntnis gesetzt sind. Ergeben Informationen, dass eine der für die Einhaltung der Grundsätze in den Vereinigten Staaten verantwortlichen Einrichtungen ihrer Aufgabe nicht wirkungsvoll nachkommt, so informiert die Schweizer Regierung das Handelsdepartement der USA und schlägt, wenn nötig, im Hinblick auf die Aufhebung, Aussetzung oder Beschränkung des Geltungsbereichs dieser Entscheidung entsprechende Massnahmen vor.
Wir danken Ihnen für Ihre Zusammenarbeit in dieser Angelegenheit.
Mit freundlichen Grüssen
Hans-Peter Thür
1 Übersetzung des englischen Originaltextes.
2 Diese Dokumente können in englischer Sprache beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten bezogen werden.
3 SR 235.1