ARTICLE
24 July 2025

Dürfen Personendaten frei über Grenzen hinweg übermittelt werden – oder gibt es Einschränkungen?

FP
FABIAN PRIVACY LEGAL GmbH

Contributor

FABIAN PRIVACY LEGAL GmbH logo
We are a boutique law firm specializing in data, privacy and data protection laws and related issues, information security, data and privacy governance, risk management, program implementation and legal compliance. Our strengths are the combination of expert knowledge and practical in-house experience as well as a strong network with industry groups, privacy associations and experts around the world.
Explore Firm Details
In diesem Teil unserer Serie beleuchten wir die Regelungen zur grenzüberschreitenden Bekanntgabe...
Switzerland Privacy
Daniela Fabian

Teil 11 unserer Serie zum Datenschutzrecht in der Schweiz

In diesem Teil unserer Serie beleuchten wir die Regelungen zur grenzüberschreitenden Bekanntgabe von Personendaten gemäss dem Bundesgesetz über den Datenschutz (DSG).

Bekanntgabe in einen Staat mit angemessenem Datenschutz

Gemäss Art. 16 Abs. 1 DSG dürfen Personendaten ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder einer internationalen Organisation einen angemessenen Schutz gewährleistet.

Die Liste der Staaten mit angemessenem Datenschutzniveau findet sich in Anhang 1 der Datenschutzverordnung (DSV).1 Diese wurde per 15. September 2024 mit den Vereinigten Staaten ergänzt. Damit können Personendaten an Unternehmen in den USA, die unter dem Swiss-U.S. Data Privacy Framework zertifiziert sind, übermittelt werden.

Übermittlungsmechanismen für Staaten ohne angemessenen Datenschutz

Liegt kein Angemessenheitsentscheid des Bundesrats vor, darf die Bekanntgabe von Personendaten ins Ausland nur erfolgen, wenn ein angemessenes Datenschutzniveau durch einen der folgenden Mechanismen sichergestellt wird:

  1. ein völkerrechtlicher Vertrag;
  2. Datenbearbeitungsklauseln, die dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorgängig mitgeteilt wurden;
  3. spezifische Garantien, die von der zuständigen Bundesbehörde erstellt und dem EDÖB vorgängig mitgeteilt wurden;
  4. Standarddatenschutzklauseln, die vom EDÖB im Voraus genehmigt, herausgegeben oder anerkannt wurden, etwa die EU-Standardvertragsklauseln, die vom EDÖB anerkannt wurden;
  5. verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules, BCR), die vorgängig vom EDÖB oder von der Datenschutzbehörde eines Staates mit angemessenem Datenschutz genehmigt wurden; oder
  6. ein Verhaltenskodex oder eine Zertifizierung, die im Voraus vom EDÖB genehmigt wurde.

Gemäss Leitfaden des EDÖB zur Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf Standarddatenschutzklauseln nach Art. 16 Abs. 2 lit. d DSG vom 27. August 2021 (zuletzt angepasst am 12.02.2025)2, können die EU-Standardvertragsklauseln für die Übermittlung von Personendaten in Drittstaaten verwendet werden. Allerdings sind gewisse Anpassungen erforderlich, damit die SCC der Schweizer Gesetzgebung entsprechen und damit geeignet sind, ein angemessenes Schutzniveau bei Datenübermittlungen aus der Schweiz in ein Drittland gemäss Art. 16 Abs. 2 lit. d DSG sicherzustellen. Eine Übersicht ist im Leitfaden zu finden.

Ausnahmen

Fehlt sowohl ein Angemessenheitsentscheid als auch ein zulässiger Übermittlungsmechanismus, kann die grenzüberschreitende Bekanntgabe von Personendaten in bestimmten Fällen auf eine der folgenden Ausnahmen gestützt werden:

  1. die ausdrückliche Einwilligung der betroffenen Person;
  2. die Bekanntgabe steht in direktem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags mit der betroffenen Person oder liegt in deren Interesse;
  3. die Bekanntgabe ist zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht oder einer zuständigen ausländischen Behörde erforderlich;
  4. die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, die Einwilligung der betroffenen Person innert angemessener Frist einzuholen;
  5. die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt;
  6. die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich ist oder Personen mit berechtigtem Interesse zugänglich ist.

Gemäss der Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 16 Abs. 2 lit. b und d DSG) von Juni 2021 (angepasst an das revidierte DSG im Mai 20233), ist bei Übermittlungen in Staaten ohne angemessenes Datenschutzniveau, die auf einem der oben genannten Mechanismen beruhen, ein Transfer Impact Assessment (TIA) erforderlich. Der Leitfaden nennt vier Garantien, die im Rahmen der TIA zu prüfen sind, sowie verbindliche Zusatzmassnahmen, falls diese Garantien nicht erfüllt werden.

Vorschau auf Teil 12

In Teil 12 unserer Serie widmen wir uns den Transparenzanforderungen bei der Erhebung und Bearbeitung von Personendaten.

Footnotes

1 https://www.fedlex.admin.ch/eli/cc/2022/568/de#annex_1

2 https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2025/02/12/b6c48030-921e-4e2a-86c7-585ccc2a9936.pdf

3 https://backend.edoeb.admin.ch/fileservice/sdweb-docs-prod-edoebch-files/files/2024/12/17/3a08dae5-48c6-4d05-81f1-8016bfec4cde.pdf

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Daniela Fabian
Daniela Fabian
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More