Wann darf ein Schweizer Unternehmen Personendaten ins Ausland übermitteln?

Gemäss Art. 16 nDSG dürfen Personendaten ins Ausland übermittelt werden, wenn das Zielland ein angemessenes Datenschutzniveau gewährleistet, wie vom Bundesrat festgestellt. Steht das Land nicht auf der Adäquanzliste, ist die Übermittlung mit geeigneten Garantien zulässig: Standardvertragsklauseln (SVK), verbindliche unternehmensinterne Datenschutzvorschriften (BCR) oder eine der Ausnahmen gemäss Art. 17 nDSG (ausdrückliche Einwilligung, Vertragserfüllung, überwiegendes öffentliches Interesse).

Welche Länder gelten für die Schweiz als datenschutzrechtlich angemessen?

Der EDÖB veröffentlicht die offizielle Adäquanzliste im Auftrag des Bundesrats. Stand 2025 gelten als angemessen: alle EU-/EWR-Mitgliedstaaten, das Vereinigte Königreich, Kanada, Israel, Neuseeland, Argentinien, Uruguay, Japan, Südkorea und weitere. Die USA gelten nur für Organisationen als angemessen, die unter dem Swiss-U.S. Data Privacy Framework (DPF) zertifiziert sind. Prüfen Sie stets die aktuelle Liste auf edoeb.admin.ch.

Können Schweizer KMU die EU-Standardvertragsklauseln für internationale Übermittlungen verwenden?

Ja. Der EDÖB hat die Standardvertragsklauseln (SVK) der EU-Kommission von 2021 als geeignete Garantien gemäss Art. 16 Abs. 2 lit. d nDSG anerkannt, sofern sie für die Schweiz angepasst werden. Die Anpassungen umfassen den Ersatz von DSGVO-Verweisen durch nDSG-Verweise, die Bezeichnung des EDÖB als zuständige Aufsichtsbehörde und die Festlegung des Schweizer Rechts als anwendbares Recht für die Datenschutzklauseln.

Wie sollten Schweizer KMU Datenübermittlungen an US-Cloud-Anbieter wie AWS oder Google Cloud handhaben?

Prüfen Sie zunächst, ob der US-Anbieter unter dem Swiss-U.S. Data Privacy Framework (DPF) auf dataprivacyframework.gov zertifiziert ist. Falls ja, wird die Übermittlung wie ein Transfer in ein angemessenes Land behandelt und es sind keine zusätzlichen Garantien über einen AVV hinaus erforderlich. Ist der Anbieter nicht DPF-zertifiziert, müssen Sie SVK mit ergänzenden Massnahmen umsetzen: Verschlüsselung bei Übertragung und Speicherung, Pseudonymisierung und vertragliche Zusagen gegen Regierungszugriffe.

Welche Sanktionen drohen, wenn ein Schweizer Unternehmen Daten ohne geeignete Garantien ins Ausland übermittelt?

Gemäss Art. 63 nDSG können vorsätzliche Verstösse gegen die Übermittlungsregeln mit Bussen bis zu CHF 250 000 gegen die verantwortliche natürliche Person bestraft werden — nicht gegen das Unternehmen. Anders als bei DSGVO-Bussen, die auf Unternehmen abzielen, treffen Schweizer Sanktionen persönlich die Person, die die rechtswidrige Übermittlung genehmigt oder nicht verhindert hat.

Internationale Datenübermittlung unter dem nDSG: Ein vollständiger Leitfaden für Schweizer KMU

Jedes Schweizer Unternehmen mit einer Website, einem Cloud-Dienst oder einem internationalen Kunden übermittelt Personendaten über Landesgrenzen hinweg — oft ohne es zu bemerken. Seit das revidierte Bundesgesetz über den Datenschutz (nDSG / nLPD) am 1. September 2023 in Kraft getreten ist, unterliegen diese Übermittlungen strengen gesetzlichen Anforderungen, die bei Nichteinhaltung eine persönliche strafrechtliche Haftung nach sich ziehen.

Dieser Leitfaden erklärt den vollständigen Rechtsrahmen für internationale Datenübermittlungen unter dem nDSG, stellt jeden verfügbaren Schutzmechanismus für Schweizer KMU vor und bietet einen praxisorientierten Schritt-für-Schritt-Bewertungsprozess, den Sie sofort anwenden können.

Warum internationale Datenübermittlungen wichtig sind

Wenn Ihre Zürcher Marketingagentur einen Newsletter über Mailchimp versendet (Server in den USA), wenn Ihre Genfer Treuhandfirma Kundendossiers auf Google Drive speichert oder wenn Ihr Basler Onlineshop Zahlungen über Stripe abwickelt — verlassen Personendaten die Schweiz. Unter dem nDSG erfordert jede dieser Übermittlungen eine Rechtsgrundlage.

Die Konsequenzen sind nicht abstrakt. Artikel 63 nDSG sieht Bussen bis zu CHF 250 000 gegen die verantwortliche natürliche Person vor — nicht gegen das Unternehmen. Damit unterscheidet sich das schweizerische Durchsetzungsmodell grundlegend von der DSGVO, wo Bussen gegen die Organisation gerichtet sind. In der Schweiz haftet die Person persönlich, die eine rechtswidrige Übermittlung genehmigt oder nicht verhindert hat.

Der Rechtsrahmen: Art. 16-18 nDSG

Das nDSG regelt grenzüberschreitende Datenübermittlungen in drei zentralen Bestimmungen:

Artikel 16 — Grundsatz und angemessener Schutz

Art. 16 Abs. 1 legt die Grundregel fest: Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des Zielstaates oder des internationalen Organs einen angemessenen Schutz gewährleistet. Dies ist der einfachste Übermittlungsmechanismus — steht das Zielland auf der Adäquanzliste, sind keine zusätzlichen Garantien erforderlich.

Art. 16 Abs. 2 regelt die Situation, wenn kein Adäquanzentscheid vorliegt. Der Verantwortliche darf dennoch Daten übermitteln, wenn geeignete Garantien einen angemessenen Schutz sicherstellen, darunter:

(lit. a) Ein völkerrechtlicher Vertrag
(lit. b) Datenschutzklauseln in einem Vertrag zwischen den Parteien, die dem EDÖB mitgeteilt wurden
(lit. c) Spezifische Garantien des zuständigen Bundesorgans
(lit. d) Vom EDÖB genehmigte oder anerkannte Standarddatenschutzklauseln — dies ist der SVK-Mechanismus
(lit. e) Verbindliche unternehmensinterne Datenschutzvorschriften (BCR), die vom EDÖB genehmigt wurden

Artikel 17 — Ausnahmen

Wenn weder Adäquanz noch vertragliche Garantien greifen, nennt Art. 17 Ausnahmen (Derogationen), die Übermittlungen unter bestimmten Umständen erlauben: ausdrückliche Einwilligung, Vertragserfüllung, überwiegendes öffentliches Interesse, Schutz von Leib und Leben.

Artikel 18 — Veröffentlichung der Adäquanzliste

Art. 18 verpflichtet den Bundesrat, die Liste der Staaten, Gebiete und internationalen Organe mit angemessenem Schutz zu veröffentlichen. Der EDÖB pflegt und aktualisiert diese Liste, die öffentlich auf edoeb.admin.ch zugänglich ist.

Der vollständige Gesetzestext ist auf fedlex.admin.ch verfügbar — dem offiziellen Schweizer Gesetzgebungsportal.

Die Adäquanzliste des EDÖB: Welche Länder gelten als «angemessen»?

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlicht und pflegt die Liste der Rechtsordnungen, deren Datenschutzgesetze als angemessen betrachtet werden. Dies ist der erste Prüfpunkt vor jeder internationalen Übermittlung.

Länder mit angemessenem Schutz (Stand 2025):

Alle EU-/EWR-Mitgliedstaaten (abgedeckt durch den DSGVO-Rahmen)
Vereinigtes Königreich (Adäquanz nach dem Brexit)
Kanada (für Übermittlungen unter PIPEDA)
Israel
Neuseeland
Argentinien
Uruguay
Japan
Südkorea
Andorra, Färöer-Inseln, Guernsey, Isle of Man, Jersey (kleine Rechtsordnungen mit eigenen Datenschutzgesetzen)

Die Vereinigten Staaten — teilweise Adäquanz:

Die USA verfügen nicht über ein allgemeines Bundesdatenschutzgesetz, das dem nDSG vergleichbar wäre. Das Swiss-U.S. Data Privacy Framework (DPF), wirksam seit dem 15. September 2024, bietet jedoch eine Adäquanzgrundlage für Übermittlungen an US-Organisationen, die DPF-zertifiziert sind. Die Zertifizierung eines Anbieters können Sie auf dataprivacyframework.gov überprüfen.

Ist der US-Empfänger nicht DPF-zertifiziert, besteht keine Adäquanz, und Sie müssen sich auf SVK oder eine andere Garantie gemäss Art. 16 Abs. 2 stützen.

Praxistipp: Speichern Sie die Adäquanzliste des EDÖB als Lesezeichen und konsultieren Sie sie vor der Einbindung jedes neuen Anbieters. Die Liste wird periodisch aktualisiert, und Länder können hinzugefügt oder entfernt werden.

Standardvertragsklauseln (SVK): Die häufigste Garantie

Für Übermittlungen in Länder, die nicht auf der Adäquanzliste stehen, sind Standardvertragsklauseln der meistverwendete Schutzmechanismus gemäss Art. 16 Abs. 2 lit. d nDSG.

Was sind SVK?

SVK sind vorab genehmigte Vertragsvorlagen, die dem ausländischen Datenempfänger Datenschutzpflichten auferlegen, die dem Schweizer Recht gleichwertig sind. Sie schaffen einen rechtsverbindlichen Rahmen, der sicherstellt, dass der Empfänger Personendaten im Einklang mit den Anforderungen des nDSG behandelt — unabhängig vom lokalen Recht.

EU-SVK für die Schweiz angepasst

Der EDÖB hat die Standardvertragsklauseln der EU-Kommission von 2021 (Durchführungsbeschluss 2021/914) als geeignete Garantien anerkannt, sofern sie für Schweizer Besonderheiten angepasst werden. Die erforderlichen Anpassungen umfassen:

Anwendbares Recht: Verweise auf die DSGVO müssen durch Verweise auf das nDSG ergänzt werden
Aufsichtsbehörde: Die zuständige Behörde muss der EDÖB sein (nicht eine EU-Datenschutzbehörde)
Anwendbares Recht für Streitigkeiten: Schweizer Recht muss für die Datenschutzklauseln festgelegt werden
Geltungsbereich: Die SVK müssen ausdrücklich betroffene Personen in der Schweiz abdecken, nicht nur EU-Betroffene
Terminologie: Wo die DSGVO «Verantwortlicher» und «Auftragsverarbeiter» verwendet, gelten die nDSG-Entsprechungen

Viele grosse Technologieanbieter (Google, Microsoft, AWS, Salesforce) integrieren diese Schweizer Anpassungen bereits in ihre Datenverarbeitungszusätze. Bei Vertragsabschluss mit einem Anbieter überprüfen Sie, ob dessen SVK die schweizerischen Ergänzungen enthalten — reine EU-SVK ohne Anpassung sind für die nDSG-Compliance nicht ausreichend.

Die vier SVK-Module

Die EU-SVK von 2021 verwenden eine modulare Struktur. Das relevante Modul hängt von den Rollen der Parteien ab:

Modul 1: Verantwortlicher an Verantwortlichen
Modul 2: Verantwortlicher an Auftragsbearbeiter (am häufigsten für Schweizer KMU mit SaaS-Tools)
Modul 3: Auftragsbearbeiter an Auftragsbearbeiter
Modul 4: Auftragsbearbeiter an Verantwortlichen

Für ein typisches Schweizer KMU, das Kundendaten an einen US-amerikanischen SaaS-Anbieter übermittelt, ist Modul 2 (Verantwortlicher an Auftragsbearbeiter) die richtige Wahl.

Transfer Impact Assessment (TIA)

Der EDÖB erwartet, dass Verantwortliche, die SVK verwenden, vor Beginn der Übermittlung ein Transfer Impact Assessment durchführen. Eine TIA bewertet:

Den Rechtsrahmen des Ziellandes (Überwachungsgesetze, staatliche Zugriffsrechte)
Die praktische Durchsetzbarkeit der SVK in dieser Rechtsordnung
Ob ergänzende Massnahmen erforderlich sind (Verschlüsselung, Pseudonymisierung, Datenlokalisierung)

Für Übermittlungen in die USA (nicht DPF-zertifizierte Empfänger) ist eine TIA im Wesentlichen obligatorisch. Dokumentieren Sie Ihre Bewertung — der EDÖB kann sie im Rahmen einer Untersuchung anfordern.

Verbindliche unternehmensinterne Datenschutzvorschriften (BCR): Für multinationale Konzerne

Verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules, BCR) sind interne Datenschutzrichtlinien, die von einem multinationalen Konzern verabschiedet und vom EDÖB gemäss Art. 16 Abs. 2 lit. e nDSG genehmigt werden. Sie ermöglichen den freien Datenfluss zwischen Konzerngesellschaften über Landesgrenzen hinweg.

BCR sind vor allem für grosse Organisationen mit Niederlassungen in mehreren Rechtsordnungen relevant. Für die meisten Schweizer KMU sind SVK die praktischere und kostengünstigere Garantie. Gehört Ihr Unternehmen jedoch zu einem Konzern mit Tochtergesellschaften in Ländern ohne Adäquanzentscheid, können BCR eine Überlegung wert sein.

Wesentliche Merkmale von BCR:

Sie müssen für alle Konzerngesellschaften rechtsverbindlich sein
Sie bedürfen der Genehmigung des EDÖB vor der Anwendung
Sie müssen die grundlegenden Datenschutzprinzipien enthalten (Zweckbindung, Datenminimierung, Sicherheit, Betroffenenrechte)
Sie müssen interne Beschwerde- und Durchsetzungsmechanismen vorsehen
Der Genehmigungsprozess kann 12 bis 18 Monate dauern

Verfügt Ihre Muttergesellschaft bereits über DSGVO-genehmigte BCR, kann der EDÖB diese mit schweizerischen Anpassungen anerkennen — ähnlich dem SVK-Anpassungsprozess.

Ausnahmen nach Art. 17 nDSG: Wenn keine Garantie besteht

Artikel 17 nDSG listet Ausnahmen auf, die Übermittlungen ohne Adäquanzentscheid oder vertragliche Garantien erlauben. Es handelt sich um enge Ausnahmen, nicht um allgemeine Erlaubnisse. Der EDÖB legt sie restriktiv aus.

Ausnahmen nach Art. 17 Abs. 1:

(lit. a) Ausdrückliche Einwilligung: Die betroffene Person hat nach Information über das Zielland und dessen Datenschutzniveau ausdrücklich in die Übermittlung eingewilligt. Die Einwilligung muss sich spezifisch auf die Übermittlung beziehen — ein allgemeines Datenschutz-Kontrollkästchen genügt nicht.
(lit. b) Vertragserfüllung: Die Übermittlung ist unmittelbar erforderlich für die Erfüllung eines Vertrags mit der betroffenen Person (z.B. Hotelbuchung im Ausland, internationaler Versand). Dies deckt keine Übermittlungen ab, die bloss praktisch oder kostengünstig sind.
(lit. c) Vorvertragliche Massnahmen: Die Übermittlung ist für vorvertragliche Massnahmen auf Verlangen der betroffenen Person erforderlich.
(lit. d) Vertrag zwischen Verantwortlichem und Drittem: Die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen dem Verantwortlichen und einem Dritten im Interesse der betroffenen Person erforderlich.
(lit. e) Überwiegendes öffentliches Interesse: Die Übermittlung ist zur Wahrung eines wichtigen öffentlichen Interesses erforderlich (z.B. internationale Rechtshilfe).
(lit. f) Schutz von Leib und Leben: Die Übermittlung ist zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten erforderlich.
(lit. g) Öffentliches Register: Die Daten stammen aus einem gesetzlich vorgesehenen und öffentlich zugänglichen Register.

Wichtige Einschränkungen:

Einwilligungsbasierte Übermittlungen (lit. a) können nicht der Hauptmechanismus für systematische, laufende Datenflüsse sein. Die Einwilligung muss freiwillig erteilt sein und kann jederzeit widerrufen werden.
Die Vertragsnot wendigkeit (lit. b) wird eng ausgelegt. Ein US-CRM zu nutzen, weil es günstiger ist, ist nicht «erforderlich für die Vertragserfüllung».
Ausnahmen müssen dokumentiert werden, einschliesslich der spezifischen Rechtsgrundlage und der Begründung, warum kein anderer Garantiemechanismus möglich war.

Datenübermittlung in die USA: Praktische Lösungen für Schweizer KMU

Die Vereinigten Staaten bleiben das wichtigste und komplexeste Übermittlungsziel für Schweizer Unternehmen. Praktisch jedes Schweizer KMU nutzt mindestens einen US-amerikanischen Dienst — E-Mail (Google Workspace, Microsoft 365), Zahlungen (Stripe), Analyse (Google Analytics), CRM (HubSpot, Salesforce) oder Cloud-Infrastruktur (AWS, Azure, GCP).

Option 1: Swiss-U.S. Data Privacy Framework (DPF)

Seit September 2024 bietet das DPF eine Adäquanzgrundlage für Übermittlungen an DPF-zertifizierte US-Organisationen. Dies ist die einfachste Lösung. So gehen Sie vor:

Überprüfen Sie die DPF-Zertifizierung des Empfängers auf dataprivacyframework.gov
Bestätigen Sie, dass die Zertifizierung die spezifischen Datenkategorien abdeckt, die Sie übermitteln
Dokumentieren Sie die Überprüfung in Ihrem Bearbeitungsverzeichnis
Überprüfen Sie periodisch (Zertifizierungen können verfallen oder entzogen werden)

Die meisten grossen US-Anbieter (Google, Microsoft, AWS, Meta, Salesforce, Stripe) sind DPF-zertifiziert.

Option 2: SVK + ergänzende Massnahmen

Für US-Anbieter ohne DPF-Zertifizierung sind an die Schweiz angepasste SVK der Standardansatz. Angesichts der US-Überwachungslandschaft (FISA Section 702, Executive Order 12333) erwartet der EDÖB ergänzende technische und organisatorische Massnahmen:

Verschlüsselung: Daten müssen bei der Übertragung (TLS 1.2+) und bei der Speicherung (AES-256) verschlüsselt werden. Die Verschlüsselungsschlüssel sollten unter Ihrer Kontrolle oder unter der Kontrolle eines Anbieters in einem Land mit angemessenem Schutz verbleiben.
Pseudonymisierung: Ersetzen Sie nach Möglichkeit direkte Kennungen durch Pseudonyme vor der Übermittlung. Der Reidentifikationsschlüssel muss in der Schweiz oder in einem angemessenen Land verbleiben.
Vertragliche Zusagen: Der US-Anbieter sollte sich vertraglich verpflichten, staatliche Zugriffsanfragen anzufechten und Sie über solche Anfragen zu informieren, soweit gesetzlich zulässig.
Datenminimierung: Übermitteln Sie nur die Daten, die für den Bearbeitungszweck zwingend erforderlich sind.

Option 3: Schweizer Hosting-Alternativen

Für sensible Daten oder wenn ergänzende Massnahmen unpraktikabel sind, ziehen Sie in der Schweiz gehostete Alternativen in Betracht:

Cloud: Infomaniak (Genf), Exoscale (Schweizer Rechenzentren)
E-Mail: Infomaniak Mail, ProtonMail (Genf)
Analyse: Selbst gehostetes Matomo, Plausible (EU-gehostet)

PrivaGuard wird ausschliesslich auf Schweizer Infrastruktur betrieben, weil wir überzeugt sind, dass die Datenhaltung in der Schweiz nicht nur ein Compliance-Häkchen ist — sondern ein fundamentales Vertrauenssignal für Ihre Kunden.

Vergleich mit den DSGVO-Übermittlungsregeln (Art. 44-49 DSGVO)

Schweizer KMU, die auch EU-Kunden bedienen, müssen häufig sowohl das nDSG als auch die DSGVO einhalten. Das Verständnis der Unterschiede hilft, blinde Flecken zu vermeiden.

Aspekt	nDSG (Art. 16-18)	DSGVO (Art. 44-49)
Adäquanzentscheide	Bundesrat (veröffentlicht durch den EDÖB)	Europäische Kommission
SVK-Mechanismus	Vom EDÖB anerkannte SVK (EU-SVK + Schweizer Anpassung)	SVK der EU-Kommission (2021/914)
BCR	Vom EDÖB genehmigt	Von der federführenden Aufsichtsbehörde genehmigt
Sanktionen	Strafrechtlich: bis CHF 250 000 gegen natürliche Personen	Verwaltungsrechtlich: bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes gegen Unternehmen
Aufsichtsbehörde	EDÖB (Bern)	Nationale Datenschutzbehörden (eine pro Mitgliedstaat)
US-Übermittlungen	DPF (schweizspezifische Zertifizierung)	EU-U.S. Data Privacy Framework
Einwilligungsausnahme	Ausdrückliche Einwilligung erforderlich, restriktiv ausgelegt	Ausdrückliche Einwilligung, ebenfalls restriktiv
Meldung an Behörde	SVK müssen dem EDÖB mitgeteilt werden	Keine allgemeine Meldepflicht

Zentraler Unterschied — strafrechtliche vs. verwaltungsrechtliche Haftung: Der wesentlichste Unterschied betrifft das Durchsetzungsmodell. Unter der DSGVO treffen Bussen das Unternehmen. Unter dem nDSG treffen sie die natürliche Person. Ein Geschäftsführer oder Datenschutzbeauftragter, der eine rechtswidrige Übermittlung genehmigt, riskiert persönliche strafrechtliche Haftung — bis zu CHF 250 000.

Zentraler Unterschied — Meldung der SVK: Unter dem nDSG müssen Datenschutzklauseln in Verträgen (Art. 16 Abs. 2 lit. b) dem EDÖB vor der Übermittlung mitgeteilt werden. Dies ist ein Verfahrensschritt, der unter der DSGVO nicht erforderlich ist. Bei Verwendung vom EDÖB anerkannter SVK (lit. d) gilt die Meldepflicht jedoch in der Regel als erfüllt.

Cloud-Dienste und SaaS: Praktische Auswirkungen

Für Schweizer KMU stellen Cloud- und SaaS-Anbieter das häufigste Szenario für grenzüberschreitende Datenübermittlungen dar. Hier erfahren Sie, was Sie bei den wichtigsten Plattformen beachten müssen:

Amazon Web Services (AWS)

AWS bietet einen Datenverarbeitungszusatz (DPA) an, der EU-SVK mit schweizerischen Anpassungen enthält. AWS ist DPF-zertifiziert. Nutzen Sie die EU-Region (Frankfurt, Zürich), verbleiben die Daten in Europa/der Schweiz, aber AWS-Personal in anderen Ländern kann zu Supportzwecken darauf zugreifen — dies stellt dennoch eine Übermittlung dar. Prüfen Sie die Unterauftragsbearbeiterliste von AWS.

Microsoft Azure / Microsoft 365

Microsofts Produkt- und Dienst-DPA enthält SVK und verweist auf die DPF-Zertifizierung. Microsoft bietet für bestimmte Dienste Optionen zur Datenhaltung in der Schweiz (Microsoft Cloud Schweiz-Regionen in Zürich und Genf). Selbst bei Schweizer Datenhaltung können gewisse Verarbeitungen (z.B. Sicherheitsbedrohungsanalyse) ausserhalb der Schweiz stattfinden.

Google Cloud / Google Workspace

Googles Cloud-Datenverarbeitungszusatz enthält an die Schweiz angepasste SVK, und Google ist DPF-zertifiziert. Der Datenstandort kann über organisatorische Richtlinien gesteuert werden. Beachten Sie, dass Google-Supportpersonal weltweit zur Fehlerbehebung auf Daten zugreifen kann — dokumentiert in der Unterauftragsbearbeiterliste.

Praktische Checkliste für jeden Cloud-/SaaS-Anbieter:

Bestätigen Sie, dass der Anbieter DPF-zertifiziert (für US-Anbieter) oder in einem angemessenen Land ansässig ist
Unterzeichnen Sie den DPA des Anbieters — verlassen Sie sich nicht allein auf die Nutzungsbedingungen
Überprüfen Sie, ob der DPA SVK mit Schweizer Anpassungen enthält, wenn der Anbieter in einem Land ohne Adäquanz sitzt
Prüfen Sie die Unterauftragsbearbeiterliste und richten Sie Benachrichtigungen bei Änderungen ein
Konfigurieren Sie Datenhaltungseinstellungen, wo verfügbar
Dokumentieren Sie alles in Ihrem Bearbeitungsverzeichnis

Transparenzpflichten: Art. 19 nDSG

Artikel 19 nDSG auferlegt dem Verantwortlichen Informationspflichten bei der Beschaffung von Personendaten. Wenn Daten ins Ausland übermittelt werden, sind diese Transparenzanforderungen besonders wichtig.

Sie müssen betroffene Personen informieren über:

Die Identität und Kontaktdaten des Verantwortlichen
Den Zweck der Bearbeitung
Die Empfänger oder Kategorien von Empfängern der Daten — einschliesslich ausländischer Empfänger
Das Land oder die Länder, in die Daten übermittelt werden
Die Garantien, die einen angemessenen Schutz sicherstellen (Adäquanzentscheid, SVK, BCR oder geltend gemachte Ausnahme)

Diese Informationen werden typischerweise in Ihrer Datenschutzerklärung bereitgestellt. Für ein Schweizer KMU muss eine konforme Datenschutzerklärung einen Abschnitt über internationale Datenübermittlungen enthalten, der jedes Zielland, die Kategorie der übermittelten Daten und den verwendeten Rechtsschutzmechanismus aufführt.

Beispielklausel für eine Datenschutzerklärung:

Wir übermitteln Personendaten in folgende Staaten: USA (Google LLC — DPF-zertifiziert; Stripe Inc. — DPF-zertifiziert), Deutschland (Hetzner Online GmbH — EU-Adäquanz). Soweit das Zielland keinen angemessenen Schutz gewährleistet, stützen wir uns auf vom EDÖB anerkannte Standardvertragsklauseln.

Der Datenschutzerklärungsgenerator von PrivaGuard enthält automatisch einen Abschnitt zur Offenlegung von Übermittlungen, basierend auf den von Ihnen deklarierten Diensten, mit den korrekten Rechtsverweisen für jedes Zielland.

Auftragsbearbeiter im Ausland: Vertragliche Anforderungen nach Art. 9 nDSG

Wenn Sie einen Auftragsbearbeiter ausserhalb der Schweiz beauftragen, überschneiden sich zwei Rechtsrahmen: Art. 9 nDSG (Pflichten des Auftragsbearbeiters) und Art. 16 nDSG (grenzüberschreitende Übermittlung). Sie benötigen sowohl einen konformen Auftragsbearbeitungsvertrag (AVV) als auch einen gültigen Übermittlungsmechanismus.

Was der AVV abdecken muss (Art. 9 nDSG):

Bearbeitung nur nach Weisung
Vertraulichkeitspflichten
Technische und organisatorische Sicherheitsmassnahmen
Verwaltung von Unterauftragsbearbeitern (Melde- und Widerspruchsrechte)
Unterstützung bei Betroffenenrechten
Meldung von Datenschutzverletzungen ohne Verzögerung
Rückgabe und Löschung der Daten bei Vertragsende
Auditrechte

Was der Übermittlungsmechanismus abdecken muss (Art. 16 nDSG):

Adäquanzbestätigung (falls der Auftragsbearbeiter in einem angemessenen Land sitzt)
SVK (bei fehlender Adäquanz) mit Schweizer Anpassungen
Ergänzende Massnahmen bei Bedarf (insbesondere für US-Auftragsbearbeiter ohne DPF)

In der Praxis kombinieren die meisten grossen SaaS-Anbieter den AVV und die SVK in einem einzigen Datenverarbeitungszusatz. Bei der Prüfung solcher Dokumente stellen Sie sicher, dass sowohl die AVV-Anforderungen nach Art. 9 als auch die Übermittlungsgarantien nach Art. 16 adressiert werden — ein AVV ohne Übermittlungsklauseln ist unvollständig, und SVK ohne AVV-Pflichten hinterlassen Lücken.

Häufige Fehler von Schweizer KMU bei internationalen Übermittlungen

Basierend auf unserer Erfahrung in der Compliance-Beratung von Schweizer Unternehmen sind dies die häufigsten Fehler, die wir beobachten:

1. Annahme, dass die EU-Adäquanz alles abdeckt

Viele Schweizer KMU denken, dass sie sich um Übermittlungen nicht kümmern müssen, weil sie hauptsächlich mit EU-basierten Anbietern arbeiten. Obwohl die EU den Adäquanzstatus hat, benötigen Sie dennoch einen AVV mit jedem Auftragsbearbeiter, und Sie müssen die Übermittlung in Ihrer Datenschutzerklärung offenlegen. Adäquanz vereinfacht die Übermittlung — sie beseitigt nicht alle Pflichten.

2. Unterauftragsbearbeiterketten ignorieren

Ihr direkter Anbieter mag in der Schweiz sein, aber dessen Unterauftragsbearbeiter können in den USA, in Indien oder auf den Philippinen sitzen. Die nDSG-Pflicht folgt den Daten — nicht nur Ihrem direkten Vertragspartner. Prüfen Sie die Unterauftragsbearbeiterlisten und stellen Sie sicher, dass die gesamte Kette abgedeckt ist.

3. Einwilligung für systematische Übermittlungen verwenden

Die Einwilligung der Kunden als Rechtsgrundlage für alle internationalen Übermittlungen zu nutzen, ist ein häufiger Kurzschluss. Der EDÖB legt einwilligungsbasierte Ausnahmen restriktiv aus — die Einwilligung muss spezifisch, informiert und freiwillig sein. Für systematische, laufende Datenflüsse (z.B. tägliche Kundendatenübermittlung an ein US-CRM) ist die Einwilligung kein geeigneter Mechanismus. Verwenden Sie stattdessen SVK.

4. Kein Transfer Impact Assessment durchführen

Seit dem Schrems-II-Urteil (das die Schweizer Praxis beeinflusst hat, obwohl es ein EU-Urteil ist) werden Transfer Impact Assessments für Übermittlungen in Länder mit problematischen Überwachungsgesetzen erwartet. Eine fehlende TIA-Dokumentation lässt Sie ohne Verteidigung, wenn der EDÖB ermittelt.

5. Veraltete Datenschutzerklärungen

Ihre Datenschutzerklärung listet die Übermittlungsziele und die Garantien auf, auf die Sie sich stützen. Wenn Sie ein neues SaaS-Tool mit Servern in einem Land ohne Adäquanz einführen, muss Ihre Datenschutzerklärung aktualisiert werden. Viele Unternehmen erstellen ihre Datenschutzerklärung einmalig und überarbeiten sie nie.

6. Mitarbeiterdaten vergessen

Die Pflichten bei grenzüberschreitenden Übermittlungen gelten gleichermassen für Mitarbeiterdaten. Wenn Ihre HR-Plattform (Personio, BambooHR) in den USA gehostet wird, gelten dieselben Anforderungen nach Art. 16 nDSG. Mitarbeiterdaten sind oft sensibler als Kundendaten.

7. Kein AVV vorhanden

Einige KMU nutzen SaaS-Tools jahrelang, ohne je den Datenverarbeitungszusatz des Anbieters zu unterzeichnen. Der AVV ist meist in den Kontoeinstellungen oder in der rechtlichen Dokumentation des Anbieters verfügbar — er muss lediglich akzeptiert werden. Dies ist ein schneller Compliance-Gewinn.

Schritt-für-Schritt-Anleitung zur Transferbewertung

Verwenden Sie diesen Prozess jedes Mal, wenn Sie einen neuen Anbieter, ein neues Tool oder einen neuen Dienst einbinden, der grenzüberschreitende Datenübermittlungen beinhalten könnte.

Schritt 1: Den Transfer identifizieren

Zeichnen Sie den Datenfluss auf. Welche Personendaten werden übermittelt? Wohin gehen sie? Wer empfängt sie? Eine «Übermittlung» umfasst nicht nur das Senden von Daten an einen ausländischen Server, sondern auch die Gewährung von Fernzugriff an einen ausländischen Mitarbeiter Ihres Anbieters.

Schritt 2: Adäquanzliste des EDÖB prüfen

Steht das Zielland auf der Adäquanzliste des EDÖB auf edoeb.admin.ch?

Ja → Weiter zu Schritt 5 (AVV). Keine zusätzliche Übermittlungsgarantie erforderlich.
Teilweise (z.B. USA mit DPF) → Überprüfen Sie die Zertifizierung des spezifischen Empfängers. Falls zertifiziert, weiter zu Schritt 5.
Nein → Weiter zu Schritt 3.

Schritt 3: Garantiemechanismus wählen

Für Länder ohne Adäquanz wählen Sie die geeignete Garantie:

SVK (am häufigsten): Verwenden Sie die EU-SVK von 2021 mit Schweizer Anpassungen. Wählen Sie das richtige Modul (in der Regel Modul 2 für Übermittlungen vom Verantwortlichen an den Auftragsbearbeiter).
BCR: Falls der Empfänger Teil eines multinationalen Konzerns mit vom EDÖB genehmigten BCR ist.
Ausnahme (Art. 17): Nur wenn SVK nicht durchführbar sind und eine spezifische Ausnahme greift (ausdrückliche Einwilligung, Vertragsnotwendigkeit usw.). Dokumentieren Sie Ihre Begründung.

Schritt 4: Transfer Impact Assessment durchführen

Für Übermittlungen auf Basis von SVK (insbesondere in Länder mit weitreichenden Überwachungsgesetzen):

Bewerten Sie den Rechtsrahmen des Ziellandes
Beurteilen Sie die praktische Durchsetzbarkeit der SVK in dieser Rechtsordnung
Bestimmen Sie allfällige ergänzende Massnahmen
Dokumentieren Sie die Bewertung und Ihre Schlussfolgerungen

Schritt 5: AVV unterzeichnen

Stellen Sie sicher, dass Sie einen gültigen Auftragsbearbeitungsvertrag mit dem Empfänger haben, der sowohl die Pflichten nach Art. 9 nDSG (Auftragsbearbeiterpflichten) als auch die Übermittlungsgarantien aus Schritt 3 abdeckt.

Schritt 6: Datenschutzerklärung aktualisieren

Fügen Sie das neue Übermittlungsziel, die Kategorien der übermittelten Daten und den Garantiemechanismus dem Abschnitt über internationale Übermittlungen Ihrer Datenschutzerklärung hinzu.

Schritt 7: Bearbeitungsverzeichnis aktualisieren

Erfassen Sie die Übermittlung in Ihrem Bearbeitungsverzeichnis (Art. 12 nDSG), einschliesslich Zielland, Datenkategorien, Zweck und verwendeter Garantie.

Schritt 8: Überwachen und überprüfen

Richten Sie Benachrichtigungen bei Änderungen der Unterauftragsbearbeiter ein
Überprüfen Sie DPF-Zertifizierungen periodisch
Konsultieren Sie die Adäquanzliste des EDÖB auf Änderungen
Nehmen Sie bei Änderung der Datenflüsse eine Neubewertung vor

Wie PrivaGuard bei der Compliance grenzüberschreitender Übermittlungen hilft

Die Verwaltung internationaler Datenübermittlungen über mehrere Anbieter mit unterschiedlichen Hosting-Standorten und Unterauftragsbearbeitern ist eine komplexe fortlaufende Pflicht. PrivaGuard vereinfacht diesen Prozess:

Cookie- und Tracker-Scanner: Unser automatisierter Scanner erkennt Drittanbieter-Cookies und Tracker auf Ihrer Website, identifiziert die zugehörigen Anbieter und markiert Übermittlungen in Länder ohne angemessenen Schutz. Sie sehen genau, wohin Ihre Website Daten sendet — bevor der EDÖB es tut.
Datenschutzerklärungsgenerator: Erstellen Sie eine dreisprachige Datenschutzerklärung mit einem rechtlich korrekten Abschnitt über internationale Übermittlungen, automatisch befüllt basierend auf den von Ihnen deklarierten Diensten. Verweise auf Art. 16 nDSG und die entsprechenden Garantiemechanismen sind integriert.
Bearbeitungsverzeichnis: Dokumentieren Sie alle Ihre Datenbearbeitungen, einschliesslich grenzüberschreitender Übermittlungen, in einem strukturierten Verzeichnis gemäss Art. 12 nDSG. Export als PDF für Ihre Unterlagen oder für Anfragen des EDÖB.
Consent Management Platform (CMP): Unsere nDSG-optimierte Einwilligungsbanner stellt sicher, dass Cookies und Tracker, die internationale Übermittlungen auslösen, erst nach gültiger Einwilligung geladen werden. Kompatibel mit Google Consent Mode v2, unter 15 KB, gehostet in der Schweiz.
Automatischer Rescan: Geplante wöchentliche oder monatliche Rescans Ihrer Website erkennen neue Tracker, die undokumentierte grenzüberschreitende Übermittlungen einführen könnten.

Schweizer Datenschutz beginnt damit zu wissen, wohin Ihre Daten gehen. PrivaGuard gibt Ihnen diese Transparenz.

Fazit

Grenzüberschreitende Datenübermittlungen sind eine unvermeidliche Realität für Schweizer KMU in einer vernetzten Wirtschaft. Das nDSG verbietet internationale Übermittlungen nicht — es verlangt, dass sie dokumentiert, abgesichert und transparent erfolgen. Der Rechtsrahmen der Art. 16-18 nDSG bietet klare Mechanismen: Adäquanzentscheide für vertrauenswürdige Rechtsordnungen, SVK für den Rest und enge Ausnahmen für besondere Umstände.

Die praktischen Schritte sind klar: Zeichnen Sie Ihre Datenflüsse auf, prüfen Sie die Adäquanzliste, implementieren Sie die richtigen Garantien, unterzeichnen Sie Ihre AVV und halten Sie Ihre Datenschutzerklärung aktuell. Das Risiko bei Untätigkeit ist persönlich — bis zu CHF 250 000 Busse gegen die verantwortliche natürliche Person.

Starten Sie mit einem kostenlosen Scan Ihrer Website auf privascan.ch, um zu sehen, wohin Ihre Daten heute fliessen. Dann lassen Sie PrivaGuard Sie zur Compliance begleiten — und dort halten.