Datenschutz · revDSG
Datentransfer Schweiz–USA nach revDSG
Wer Personendaten aus der Schweiz in die USA übermittelt — an die eigene US-Tochter, an Cloud-Anbieter oder US-Dienstleister —, braucht dafür eine saubere Grundlage. So sieht sie aus.
Die Antwort in einem Satz
Ein Schweizer Unternehmen darf Personendaten in die USA übermitteln, wenn der US-Empfänger unter dem Swiss–U.S. Data Privacy Framework zertifiziert ist — oder wenn die Übermittlung durch Standardvertragsklauseln mit Schweizer Anpassungen und eine dokumentierte Transfer-Folgenabschätzung abgesichert wird.
Das revDSG in Kürze
Seit dem 1. September 2023 gilt das revidierte Datenschutzgesetz (revDSG), beaufsichtigt durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Es folgt der DSGVO im Geist, ist aber ein eigenes Gesetz — mit einer Besonderheit, die es schärfer macht als sein EU-Vorbild: Bussen von bis zu CHF 250'000 richten sich gegen die verantwortlichen natürlichen Personen, nicht primär gegen das Unternehmen. Saubere Datentransfers sind damit auch eine persönliche Angelegenheit der Geschäftsleitung.
Weg 1: Swiss–U.S. Data Privacy Framework
Seit dem 15. September 2024 anerkennt die Schweiz das Swiss–U.S. Data Privacy Framework: Übermittlungen an US-Unternehmen, die unter der Schweizer Erweiterung des Frameworks zertifiziert sind, gelten als angemessen geschützt — ohne zusätzliche Vertragsklauseln und ohne Folgenabschätzung. Entscheidend ist die Prüfung, ob der konkrete US-Empfänger tatsächlich zertifiziert ist und ob die Zertifizierung die betroffenen Datenkategorien abdeckt.
Weg 2: Standardvertragsklauseln mit Schweizer Anpassungen
Ist der Empfänger nicht zertifiziert — oder soll die Übermittlung unabhängig vom Fortbestand des Frameworks tragen —, bleiben die Standardvertragsklauseln (SCC). Die EU-Klauseln sind vom EDÖB anerkannt, aber nur mit Schweizer Anpassungen: anwendbares Recht, Gerichtsstand und, soweit einschlägig, der Einbezug von Daten juristischer Personen. Dazu gehört zwingend eine Transfer-Folgenabschätzung (Transfer Impact Assessment), die den Zugriff von US-Behörden und allfällige Zusatzmassnahmen dokumentiert.
Der typische Fall: die eigene US-Expansion
Am häufigsten stellt sich die Frage nicht wegen eines Cloud-Vertrags, sondern wegen des eigenen US-Aufbaus: Mitarbeiterdaten wandern in die US-Payroll, Kundendaten ins gemeinsame CRM, HR-Daten zur neuen US-Tochter. Genau dann läuft der Datentransfer parallel zum Visumsverfahren — und genau dann lohnt es sich, beides als ein Projekt zu führen. Privello dokumentiert den Datenweg so, dass er zum Zeitplan des Personaltransfers passt.
DSGVO-Programm ≠ revDSG-Compliance
Viele Schweizer Unternehmen haben ihr Datenschutzprogramm für die DSGVO gebaut. Das ist eine gute Basis, genügt aber nicht automatisch: Das revDSG kennt ein eigenes Bearbeitungsverzeichnis, eigene Informationspflichten, eigene Regeln für Datenübermittlungen ins Ausland — und die erwähnte persönliche Strafbarkeit. Wir prüfen gezielt, wo ein bestehendes DSGVO-Programm revDSG-Lücken hat, aus US-Perspektive und in Abstimmung mit Ihren Schweizer Beratern.
Was Privello übernimmt
- Prüfung der DPF-Zertifizierung des US-Empfängers und ihrer Reichweite
- SCC-Pakete mit Schweizer Anpassungen, inklusive Transfer-Folgenabschätzung
- US-seitige Datenschutzstrategie für die eigene US-Tochter (HR-, Kunden-, Payroll-Daten)
- Gap-Analyse DSGVO-Programm vs. revDSG
- Abstimmung des Datenwegs auf den Einwanderungszeitplan; Koordination qualifizierter Schweizer Anwälte bei Fragen des Schweizer Rechts
Unser vollständiges revDSG-Briefing auf privello.com (auf Englisch)
Häufige Fragen
Datentransfer Schweiz–USA — kurz beantwortet
Darf ein Schweizer Unternehmen Personendaten in die USA übermitteln?
Ja, wenn eine gültige Grundlage besteht: entweder ist der US-Empfänger unter dem Swiss–U.S. Data Privacy Framework zertifiziert, oder die Übermittlung wird durch geeignete Garantien wie Standardvertragsklauseln mit einer Transfer-Folgenabschätzung abgesichert.
Was ist das Swiss–U.S. Data Privacy Framework?
Ein Selbstzertifizierungsrahmen für US-Unternehmen. Die Schweiz anerkennt seit dem 15. September 2024 Übermittlungen an US-Unternehmen, die unter der Schweizer Erweiterung des Data Privacy Framework zertifiziert sind, als angemessen geschützt — ohne zusätzliche Vertragsklauseln.
Reichen die EU-Standardvertragsklauseln auch für die Schweiz?
Grundsätzlich ja, aber nur mit den vom EDÖB anerkannten Schweizer Anpassungen — etwa zu anwendbarem Recht, Gerichtsstand und dem Einbezug von Daten juristischer Personen, soweit einschlägig. Zusätzlich braucht es eine dokumentierte Transfer-Folgenabschätzung.
Genügt ein bestehendes DSGVO-Programm für das revDSG?
Nicht automatisch. Das revDSG ist ein eigenes Gesetz mit eigenen Pflichten — etwa dem Bearbeitungsverzeichnis, eigenen Informationspflichten und persönlichen Strafbestimmungen. Ein DSGVO-Programm ist eine gute Basis, muss aber gezielt auf revDSG-Lücken geprüft werden.
Welche Sanktionen drohen bei Verstössen gegen das revDSG?
Das revDSG sieht Bussen von bis zu CHF 250'000 vor — und zwar gegen die verantwortlichen natürlichen Personen, nicht primär gegen das Unternehmen. Das unterscheidet es deutlich von der DSGVO und macht saubere Übermittlungsgrundlagen auch persönlich relevant.
Der erste Schritt
Fliessen Ihre Daten schon rechtskonform in die USA?
Schildern Sie uns, welche Daten in die USA gehen — an die eigene Tochter, an Dienstleister oder in die Cloud. Wir zeigen Ihnen im ersten Gespräch den tragfähigen Übermittlungsweg.