Der Transfer von personenbezogenen Daten in einen Staat ausserhalb der EU ist gemäss der DSGVO nur erlaubt, wenn dort ein adäquates Datenschutzniveau vorliegt. Die EU fasst hierzu nach neuer DSGVO alle vier Jahre einen sog. «Angemessenheitsbeschluss». Damit legt die EU-Kommission fest, ob in einem Drittstaat ein angemessenes Datenschutzniveau besteht.
Unter der EU-Datenschutzrichtlinie von 1995 bescheinigte die EU-Kommission der Schweiz, dass sie ein aus EU-Sicht angemessenes Datenschutzniveau hält. Nun aber muss die EU-Kommission unter der neuen DSGVO noch einmal beurteilen, ob sie der Schweiz auch unter deren heutigem DSG eine derartige Angemessenheit bescheinigt. Bis sie dies entscheidet, bleibt der bisherige Beschluss in Kraft. Danach kann er auf Basis der DSGVO geändert, ersetzt oder aufgehoben werden. Würde für die Schweiz als Drittstaat kein Angemessenheitsbeschluss erfolgen, könnten Daten aus der EU bzw. aus dem EWR Staat nur dann in die Schweiz übertragen werden, wenn andere Sicherstellungsmassnahmen wie beispielsweise verbindliche interne Unternehmensvorschriften (sog. CBR’s – Corporate Binding Rules) vorlägen. Dies wäre für die Schweizer Wirtschaft, welche eng mit der EU verwoben ist, fatal, und die wirtschaftlichen Folgen wären massiv.
Die Schweiz hatte darum ein vitales Interesse daran, ihr DSG möglichst in Einklang mit der DSGVO auszugestalten. Nachdem der Bundesrat den Auftrag zur Prüfung der Revision des DSG gegeben hatte, wurde im letzten Jahr ein Vorentwurf präsentiert, welcher eine sehr hohe Übereinstimmung mit der DSGVO hatte. Die zu diesem Zeitpunkt bereits absehbaren, sehr hohen Administrativaufwände, welche die DSGVO in der EU ausgelöst hatten, haben vor allem die Wirtschaftsverbände alarmiert. Sie versuchten in der Folge, stark Einfluss zu nehmen, um im neuen schweizerischen DSG Entwurf mehr Pragmatismus und Praktikabilität einzubringen.