DSGVO

Datenübermittlung ins Ausland: Regeln für Schweizer Unternehmen

ComplianceCore Editorial··9 min read

Personendaten dürfen nur dann ins Ausland übermittelt werden, wenn das Empfängerland ein angemessenes Datenschutzniveau bietet (Art. 16 DSG) — oder wenn geeignete Garantien bestehen. Die EU/EWR-Länder sind vollständig auf der Länderliste des Bundesrats. Für die USA gilt das Swiss-U.S. Data Privacy Framework. Cloud-Dienste wie Microsoft 365, Google Workspace, Salesforce und AWS sind legale Auslandtransfers — wenn die richtigen Garantien aktiviert und in der Datenschutzerklärung dokumentiert sind.

Art. 16

DSG — gesetzliche Grundlage

Swiss-U.S. DPF

Grundlage für USA-Transfers

SCC

Standardvertragsklauseln als Garantie

Das Grundprinzip: Länderliste des Bundesrats

Art. 16 DSG verbietet die Übermittlung von Personendaten ins Ausland grundsätzlich nicht — aber er knüpft sie an Bedingungen. Der einfachste Weg: Das Empfängerland steht auf der Länderliste des Bundesrats, die Staaten mit angemessenem Datenschutzniveau aufführt.

Diese Liste umfasst alle EU/EWR-Mitgliedstaaten sowie eine Reihe weiterer Staaten (darunter Argentinien, Israel, Japan, Neuseeland, Südkorea, Uruguay und das Vereinigte Königreich). Wer Personendaten in eines dieser Länder sendet, braucht keine zusätzlichen Garantien.

Für alle anderen Länder — allen voran die USA — muss eine der anerkannten Garantien nach Art. 16 Abs. 2 DSG greifen.

ℹ️

Die Länderliste ist dynamisch. Der Bundesrat aktualisiert sie regelmässig. Die aktuelle Version ist auf der Website des EDÖB unter edoeb.admin.ch abrufbar. Relevant für die Praxis: Prüfen Sie bei jeder neuen Länderverbindung ob das Zielland auf der Liste steht — und hinterlegen Sie das Prüfdatum im VVT.

Ausgewählte Länder: Angemessenes Schutzniveau?

Land / RegionCH-BundesratslisteEU-AngemessenheitsbeschlussPraxis-Hinweis
EU / EWRJa — alleEntfällt (intern)Freier Datenverkehr; CH hat EU-Angemessenheitsbeschluss
USANur DPF-zert.Nur DPF-zert.Swiss-U.S. Data Privacy Framework; Zertifizierung des Empfängers prüfen. Alternativ: SCC
Vereinigtes KönigreichJaJaPost-Brexit Angemessenheitsentscheid bestätigt
JapanJaJaGegenseitige Angemessenheitsentscheide
SüdkoreaJaJaAngemessenheitsbeschluss seit 2021
KanadaTeilweiseTeilweiseNur für privatrechtliche Unternehmen unter PIPEDA
IndienNeinNeinKein Angemessenheitsentscheid — SCC oder andere Garantien nötig
ChinaNeinNeinKein Angemessenheitsentscheid — SCC und ggf. Transfer Impact Assessment
RusslandNeinNeinKein Angemessenheitsentscheid — Transfers nur mit starken Garantien
BrasilienNeinNeinLGPD seit 2020, aber noch kein CH/EU-Angemessenheitsentscheid
⚠️

Tabelle nur zur Orientierung. Die Länderlisten werden regelmässig angepasst. Massgeblich ist immer der aktuelle Stand der offiziellen Bundesratsliste — nicht diese Tabelle. Für Compliance-Entscheide immer die aktuelle Quelle prüfen.

Garantien für Transfers in Länder ohne Angemessenheitsentscheid

Wenn das Zielland nicht auf der Bundesratsliste steht, sind Transfers trotzdem möglich — wenn eine der folgenden anerkannten Garantien nach Art. 16 Abs. 2 DSG vorliegt:

1

Standardvertragsklauseln (SCC)

Von der EU-Kommission genehmigte Vertragsklauseln, die als Garantie für Datenübermittlungen in Drittländer anerkannt sind. In der Schweiz sind die EU-SCC (Beschluss 2021/914) akzeptiert — ergänzt durch ein CH-Addendum für EDÖB-Anforderungen. Die meisten grossen Cloud-Anbieter stellen SCC-Verträge bereit.

Häufigste Lösung in der Praxis
2

Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF)

Speziell für Transfers in die USA: US-Unternehmen können sich unter dem Swiss-U.S. DPF zertifizieren lassen und erhalten damit eine anerkannte Schutzgarantie. Die Zertifizierungsliste ist unter dataprivacyframework.gov öffentlich einsehbar. Grosse Anbieter wie Microsoft, Google, AWS, Salesforce, Meta und Adobe sind zertifiziert.

Für USA-Transfers
3

Binding Corporate Rules (BCR)

Verbindliche interne Datenschutzrichtlinien für Unternehmensgruppen — genehmigt von der zuständigen Aufsichtsbehörde. Ermöglichen konzerninterne Datenübermittlungen weltweit. Aufwendig zu erstellen und genehmigen zu lassen — nur sinnvoll für grosse multinationale Konzerne.

Für Konzerne
4

Einwilligung der Betroffenen

Die betroffene Person willigt ausdrücklich in den Transfer ein, nachdem sie über die mangelnden Garantien informiert wurde. In der Praxis kaum tauglich für systematische Geschäftsprozesse — zu aufwendig und widerrufbar. Nur für Einzelfälle geeignet.

Nur für Einzelfälle

Praxisbeispiele: Cloud-Dienste und Auslandtransfers

Die meisten Schweizer Unternehmen nutzen mindestens einen der folgenden US-Cloud-Dienste. Alle übermitteln Personendaten in die USA — und alle haben Lösungen, die einen rechtskonformen Transfer ermöglichen.

MS 365

Microsoft 365 / Azure

Microsoft ist unter dem Swiss-U.S. DPF zertifiziert und stellt EU/CH-Standardvertragsklauseln im Data Protection Addendum (DPA) bereit. EU-Datenspeicherung kann im Admin Center auf europäische Rechenzentren beschränkt werden. Für CH-Kunden empfehlenswert: EU Data Boundary aktivieren.

Fundort DPA: admin.microsoft.com → Einstellungen → Org-Einstellungen

DPF + SCC verfügbar
Google WS

Google Workspace / Google Cloud

Google ist unter dem Swiss-U.S. DPF zertifiziert. Das Data Processing Amendment (DPA) muss im Google Admin Console aktiviert werden — es ist nicht automatisch aktiv. Enthält SCC für Transfers ausserhalb des EWR. Datenregion Schweiz/EU kann konfiguriert werden.

Fundort: admin.google.com → Konto → Rechtliches

DPF + SCC verfügbar — manuell aktivieren
Sales­force

Salesforce CRM

Salesforce ist unter dem Swiss-U.S. DPF zertifiziert. Das Data Processing Addendum ist auf trust.salesforce.com verfügbar und muss akzeptiert werden. EU/CH-Rechenzentren verfügbar — gegen Aufpreis buchbar. Für Schweizer Kunden reichen DPF + SCC aus.

DPF + SCC verfügbar
Mail­chimp

Mailchimp (Intuit)

Mailchimp/Intuit ist unter dem Swiss-U.S. DPF zertifiziert. Das Data Processing Agreement ist in den Account-Einstellungen verfügbar. Enthält SCC und Regelungen zu Sub-Auftragsbearbeitern. Server-Standort USA — kein EU-Rechenzentrum verfügbar.

DPF + SCC verfügbar
AWS

Amazon Web Services (AWS)

AWS ist unter dem Swiss-U.S. DPF zertifiziert. Das AWS Data Processing Addendum ist im AWS Service Terms enthalten. EU-Regionen (Frankfurt, Irland, Paris) verfügbar — Daten können ausschliesslich in EU-Rechenzentren gehalten werden. Für maximalen Schutz: EU-Region erzwingen.

DPF + SCC + EU-Region
ℹ️

Informationspflicht nicht vergessen: Alle Auslandtransfers müssen in der Datenschutzerklärung ausgewiesen werden — Empfängerland und angewandte Garantien. Diese Pflicht nach Art. 19 DSG ist von vielen Unternehmen trotz korrekt abgeschlossenem AVV nicht erfüllt. Eine vollständige DSE enthält für jeden genutzten US-Dienst einen entsprechenden Abschnitt.

Vergleich: Auslandtransfer CH vs. EU

Schweiz — revDSG

Rechtsgrundlage

Art. 16–17 DSG

Prüfgrundlage

Länderliste des Bundesrats

Garantien

SCC (EU-Klauseln + CH-Addendum), DPF, BCR, Einwilligung

USA-Lösung

Swiss-U.S. Data Privacy Framework

TIA

Nicht gesetzlich vorgeschrieben — empfohlen für Hochrisiko-Transfers

EU — DSGVO

Rechtsgrundlage

Art. 44–49 DSGVO

Prüfgrundlage

Angemessenheitsbeschlüsse EU-Kommission

Garantien

SCC (EU 2021/914), BCR, Binding Corporate Rules, Verhaltenskodex

USA-Lösung

EU-U.S. Data Privacy Framework

TIA

Transfer Impact Assessment empfohlen bei SCC-Transfers in Hochrisiko-Länder

Darf ich Daten in Land X übermitteln?

?Steht das Zielland auf der Länderliste des Bundesrats?
Ja → Transfer zulässig — in DSE dokumentieren
?Nein — Liegt eine anerkannte Garantie vor?
?USA: Ist der Empfänger unter dem Swiss-U.S. DPF zertifiziert?
Ja → Transfer zulässig — Zertifizierung prüfen und dokumentieren
Nein → SCC + CH-Addendum abschliessen und in DSE dokumentieren
?Andere Länder: Können SCC abgeschlossen werden?
Ja → SCC + CH-Addendum abschliessen — ggf. Transfer Impact Assessment durchführen
Nein — kein DPF, keine SCC möglich → Transfer nur ausnahmsweise (Einwilligung, lebenswichtige Interessen) oder unterlassen
Darf ich Kundendaten in die USA übermitteln?+
Ja, wenn der US-Empfänger unter dem Swiss-U.S. Data Privacy Framework zertifiziert ist — oder wenn SCC mit CH-Addendum abgeschlossen wurden. Grosse Cloud-Anbieter (Microsoft, Google, AWS, Salesforce, Mailchimp) sind in der Regel DPF-zertifiziert. Die Zertifizierung ist unter dataprivacyframework.gov öffentlich einsehbar.
Was ist die Länderliste des Bundesrats?+
Der Schweizer Bundesrat führt eine Liste von Ländern, die ein angemessenes Datenschutzniveau bieten. In diese Länder können Personendaten ohne zusätzliche Garantien übermittelt werden. Die EU/EWR-Länder sind vollständig enthalten. Die aktuelle Liste ist auf edoeb.admin.ch abrufbar und wird regelmässig aktualisiert.
Was sind Standardvertragsklauseln (SCC) und wann brauche ich sie?+
Standardvertragsklauseln sind von der EU-Kommission genehmigte Vertragsklauseln, die als Garantie für Transfers in Länder ohne Angemessenheitsentscheid dienen. In der Schweiz sind die EU-SCC (Beschluss 2021/914) akzeptiert — ergänzt durch ein CH-spezifisches Addendum. Brauchen Sie, wenn der Empfänger weder auf der Bundesratsliste steht noch DPF-zertifiziert ist.
Gilt Microsoft 365 als zulässige Datenübermittlung ins Ausland?+
Ja, unter den richtigen Bedingungen. Microsoft ist DPF-zertifiziert und stellt SCC im Data Protection Addendum bereit. Für Schweizer Kunden: DPA im Admin Center prüfen und ggf. EU Data Boundary aktivieren, um Daten auf EU-Rechenzentren zu beschränken. Die Nutzung muss in der Datenschutzerklärung dokumentiert sein.
Muss ich Betroffene über Auslandtransfers informieren?+
Ja. Art. 19 DSG verlangt, dass Betroffene über Auslandtransfers informiert werden — konkret über das Empfängerland und die angewandten Schutzgarantien. Diese Information gehört in die Datenschutzerklärung. Fehlt sie, verstossen Sie auch dann gegen die Informationspflicht, wenn der Transfer selbst durch DPF oder SCC abgesichert ist.

Alle Auslandtransfers auf einen Blick

ComplianceCore visualisiert Ihren Datenfluss — welche Tools übermitteln Daten in welche Länder, welche Garantien sind vorhanden und wo besteht noch Handlungsbedarf. Datenfluss-Mapping direkt aus dem VVT.

Datenfluss-Mapping starten

This content is for informational purposes only and does not constitute legal advice.

Related Articles

Pflichten

Auftragsbearbeitungsvertrag (AVV): Wann brauche ich einen und was muss rein?

Read article →
Grundlagen

revDSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen

Read article →
Pflichten

Datenschutzerklärung nach revDSG: Was muss rein und wie erstelle ich sie?

Read article →