Grenzüberschreitende Datenübermittlungen zwischen der Schweiz und Frankreich: Compliance-Leitfaden für Datenschutzbeauftragte und Vendor Manager

Personenbezogene Daten können in beide Richtungen zwischen der Schweiz und Frankreich ohne Standard Contractual Clauses (SCCs) übermittelt werden. Übermittlungen in die Schweiz stützen sich auf die Angemessenheitsanerkennung der EU für die Schweiz; Übermittlungen nach Frankreich darauf, dass die Schweiz alle EU-/EWR-Staaten als angemessen einstuft. Beide Datenflüsse unterliegen dem schweizerischen FADP (nDSG/nLPD) und der EU-DSGVO (GDPR). SCCs, Transfer Impact Assessments und Auftragsverarbeitungsverträge werden erst bei Weiterübermittlungen in nicht angemessene Drittländer entscheidend.

Wichtigste Erkenntnisse

• Frankreich → Schweiz: freie Übermittlung. Frankreich stützt sich auf die Angemessenheitsentscheidung der EU für die Schweiz. Keine SCCs, keine zusätzlichen Garantien.
• Schweiz → Frankreich: freie Übermittlung. Frankreich steht auf der schweizerischen Liste der Staaten mit angemessenem Schutzniveau (Anhang 1 der Datenschutzverordnung). Keine SCCs.
• SCCs und ein Transfer Impact Assessment (TIA) sind nur bei Weiterübermittlungen relevant in nicht angemessene Drittländer — am häufigsten bei US-Unterauftragsverarbeitern, die nicht unter ein Data Privacy Framework zertifiziert sind.
• Ein Auftragsverarbeitungsvertrag ist dennoch erforderlich, wenn Sie einen Auftragsverarbeiter einsetzen. GDPR Artikel 28 setzt einen detaillierten Standard; FADP Artikel 9 ist schlanker. Ein DPA nach GDPR-Standard erfüllt beide Regime.
• Die Sanktionen unterscheiden sich grundlegend. Das schweizerische FADP bestraft die verantwortliche natürliche Person mit bis zu CHF 250'000. Die GDPR bestraft das Unternehmen mit bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes.
• Finanzsektordaten unterliegen zusätzlichen Pflichten. Schweizer Bankgeheimnis (Art. 47 BankG) und FINMA-Rundschreiben 2018/3 sind separate Ebenen, die Angemessenheit allein nicht abdeckt.

Dürfen Sie personenbezogene Daten zwischen der Schweiz und Frankreich übermitteln?

Ja. Personenbezogene Daten fließen in beide Richtungen frei zwischen der Schweiz und Frankreich, ohne SCCs oder zusätzliche Übermittlungsschutzmaßnahmen für die direkte Strecke. Jedes Land erkennt das andere als Staat mit angemessenem Datenschutzniveau an — eine Schweiz–Frankreich-Übermittlung wird für Übermittlungsmechanismen weitgehend wie eine inländische behandelt. Verbleibende Pflichten sind die üblichen: Rechtsgrundlage für die Verarbeitung, Transparenz, Sicherheit und ein ordnungsgemäßer Vertrag, sobald ein Auftragsverarbeiter beteiligt ist.

Die Nuance, die Teams ausbremst, ist nicht die direkte Strecke — sondern was danach passiert. Sobald Daten von Frankreich oder der Schweiz in ein Land ohne Angemessenheit weitergeleitet werden (US-Analytics-Anbieter, Offshore-Support-Center), wird die Analyse der Übermittlungsmechanismen wieder relevant.

Der Rechtsrahmen in beide Richtungen

Schweiz–Frankreich-Übermittlungen liegen an der Schnittstelle zweier Regime. Das schweizerische Bundesgesetz über den Datenschutz (FADP) — auf Deutsch nDSG, auf Französisch nLPD, in der seit 1. September 2023 geltenden revidierten Fassung — regelt die schweizerische Seite. Die EU-Datenschutz-Grundverordnung (GDPR) regelt die französische Seite. Grenzüberschreitende Bekanntgabe ist in Art. 16–18 FADP und in Kapitel V (Art. 44–50) der GDPR geregelt.

Frankreich → Schweiz

Frankreich kann personenbezogene Daten ohne zusätzliche Garantien in die Schweiz übermitteln, weil die EU die Schweiz als angemessenes Land anerkennt. Die Europäische Kommission gewährte der Schweiz erstmals Angemessenheit in Entscheidung 2000/518/EG vom 26. Juli 2000. Diese Anerkennung ist heute noch massgeblich: In ihrem Überprüfungsbericht vom 15. Januar 2024 bestätigte die Kommission, dass die Schweiz weiterhin ein angemessenes Schutzniveau bietet. Keine neue Angemessenheitsentscheidung im GDPR-Zeitalter hat sie ersetzt — der Text von 2024 ist eine Bestätigung, keine neue Entscheidung nach Art. 45. Als EU-Mitgliedstaat stützt sich Frankreich auf diese Angemessenheit auf EU-Ebene; eine Übermittlung Frankreich–Schweiz erfordert keine SCCs.

Schweiz → Frankreich

Die Schweiz kann personenbezogene Daten ohne zusätzliche Garantien nach Frankreich übermitteln, weil Frankreich auf der schweizerischen Angemessenheitsliste steht. Gemäss Art. 16 Abs. 1 FADP führt der Schweizer Bundesrat eine Liste der Staaten mit angemessenem Schutzniveau in Anhang 1 der Datenschutzverordnung (DSV). Alle EU- und EWR-Staaten, einschliesslich Frankreich, stehen auf dieser Liste. Personenbezogene Daten dürfen an gelistete Staaten ohne spezifischen Übermittlungsmechanismus bekannt gegeben werden.

Ein schweizerspezifischer Punkt: Nach schweizerischem Recht gilt die Gewährung von Fernzugriff aus dem Ausland auf in der Schweiz gespeicherte Daten selbst als Bekanntgabe ins Ausland. Ein französisches Team, das sich in ein in der Schweiz gehostetes System einloggt, bewirkt eine Übermittlung — auch wenn die Daten nie „wandern".

Wann brauchen Sie tatsächlich SCCs?

SCCs benötigen Sie nur, wenn Daten in ein Land übermittelt werden — oder von dort aus zugänglich sind —, das nicht von einer Angemessenheitsentscheidung erfasst ist, und kein anderer gültiger Mechanismus greift. Für die Schweiz und Frankreich heisst das: SCCs werden nicht durch die direkte Strecke ausgelöst, sondern durch:

• Weiterübermittlungen in nicht angemessene Staaten — z. B. ein französischer oder schweizerischer Anbieter, dessen Unterauftragsverarbeiter in einem Staat ohne Angemessenheit sitzt.
• Auftrags- oder Unterauftragsverarbeiter in nicht angemessenen Staaten, auch wenn der vertragliche Anbieter in Frankreich oder der Schweiz sitzt.
• Fernsupport oder Administrationszugriff aus einem nicht angemessenen Staat.

Wo SCCs aus der EU erforderlich sind, ist das relevante Instrument die modularen Standard Contractual Clauses der EU (Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021). Alternativen nach Art. 16 Abs. 2 FADP und Art. 46 GDPR umfassen Binding Corporate Rules (BCRs) und für enge Fälle die gesetzlichen Ausnahmen (Einwilligung, Vertragserfüllung, Rechtsansprüche).

Der „Swiss Finish" bei EU-SCCs

Um die EU-SCCs für eine Übermittlung aus der Schweiz zu nutzen, müssen Sie sie für das schweizerische Recht anpassen — den sogenannten „Swiss Finish". Am 27. August 2021 erkannte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB/FDPIC) die EU-SCCs unter den erforderlichen Anpassungen an. In der Praxis sind das:

• Verweise auf die GDPR gelten als Verweise auf das FADP, soweit nur schweizerisches Recht anwendbar ist;
• der EDÖB wird als zuständige Aufsichtsbehörde benannt (neben der EU-Behörde, wo beide Regime gelten);
• Formulierungen zu „Mitgliedstaaten" dürfen schweizerischen Betroffenen nicht das Durchsetzungsrecht am gewöhnlichen Aufenthaltsort nehmen;
• Rechtswahl und Gerichtsstand werden so angepasst, dass die Schweiz gewählt werden kann, wo nur das FADP gilt.

Die Schweiz hat keine eigenen nationalen SCCs; sie stützt sich auf die angepassten EU-Klauseln (und erkennt die Mustervertragsklauseln des Europarats an).

Wann ist ein Transfer Impact Assessment (TIA) erforderlich?

Ein TIA ist erforderlich, wenn Sie sich auf SCCs oder BCRs stützen, um Daten in ein nicht angemessenes Land zu übermitteln — nicht für die direkte Schweiz–Frankreich-Strecke. Die Pflicht folgt aus dem Schrems-II-Urteil des EuGH (Rechtssache C-311/18, 16. Juli 2020), wonach ein Exporteur mit vertraglichen Garantien prüfen muss, ob das Recht des Bestimmungsstaats im Wesentlichen gleichwertigen Schutz bietet, und ergänzende Massnahmen hinzufügen muss, wo dies nicht der Fall ist. Der EDÖB übernahm dieselbe Logik für die Schweiz und veröffentlichte Leitlinien zur Übermittlungsbewertung, einschliesslich eines US-spezifischen Fragebogens.

Für die Schweiz–Frankreich ist ein TIA für die direkte Übermittlung unnötig, weil beide Seiten angemessen sind. Das TIA wird obligatorisch, sobald eine Weiterübermittlung ein nicht angemessenes Land erreicht — und ein Vendor-Risk-Programm sollte eines pro Unterauftragsverarbeiter verlangen, dokumentiert und reproduzierbar.

FADP Artikel 9 vs. GDPR Artikel 28: Pflichten von Auftragsverarbeitern

Ein Auftragsverarbeitungsvertrag (AVV/DPA) ist erforderlich, wenn ein Verantwortlicher einen Auftragsverarbeiter einsetzt — die beiden Regime setzen jedoch sehr unterschiedliche Massstäbe. GDPR Artikel 28 ist detailliert und präskriptiv; FADP Artikel 9 ist kurz und prinzipienbasiert. Wenn Sie unter beiden Regimen operieren, erfüllt ein Aufbau nach GDPR Artikel 28 automatisch das FADP.

Anforderung	GDPR Artikel 28	FADP Artikel 9
Schriftlicher Vertrag	Erforderlich (einschliesslich elektronischer Form)	Empfohlen; nicht strikt vorgeschrieben
Vorgeschriebener Mindestinhalt	Ja — detaillierte Liste in Art. 28 Abs. 3	Keiner vorgeschrieben
Verarbeitung nur nach dokumentierten Weisungen	Ja	Implizit (Verarbeitung nur, soweit der Verantwortliche darf)
Sicherheitsmassnahmen	Verweis auf Art. 32	Erforderlich (Art. 8 FADP / DSV)
Genehmigung von Unterauftragsverarbeitern	Vorherige schriftliche, spezifische oder allgemeine Genehmigung	Vorherige Zustimmung erforderlich (Art. 9 Abs. 3)
Audit- / Prüfrechte	Ausdrücklich vorgesehen	Nicht vorgeschrieben
Vertraulichkeit	Erforderlich	Erforderlich — und darf gesetzliche Geheimhaltung nicht verletzen

Gemäss GDPR Artikel 28 Abs. 3 muss der Vertrag Gegenstand, Dauer, Art und Zweck, Datentypen und Kategorien betroffener Personen umfassen und die vollständige Pflichtenpalette des Auftragsverarbeiters vorschreiben: nur auf Weisung handeln, Vertraulichkeit sicherstellen, Art.-32-Sicherheit anwenden, Unterauftragsverarbeitung respektieren, bei Betroffenenrechten und Art. 32–36 unterstützen, Daten am Ende der Leistung löschen oder zurückgeben und Audits zulassen.

Gemäss FADP Artikel 9 darf ein Verantwortlicher die Verarbeitung delegieren, sofern der Auftragsverarbeiter Daten nur so verarbeitet, wie der Verantwortliche selbst darf, und keine gesetzliche oder vertragliche Geheimhaltungspflicht dem entgegensteht. Artikel 9 Abs. 3, neu im revidierten FADP, verlangt, dass der Auftragsverarbeiter vor Einbindung eines Unterauftragsverarbeiters die vorherige Zustimmung des Verantwortlichen einholt. Das FADP schreibt keinen Mindestvertragsinhalt und kein ausdrückliches Auditrecht vor — deshalb ist ein DPA nach GDPR-Standard der sicherere gemeinsame Nenner.

Weiterübermittlungen in die USA: die Data Privacy Frameworks

US-Unterauftragsverarbeiter sind der häufigste Grund, warum ein Schweiz–Frankreich-Datenfluss überhaupt einen Übermittlungsmechanismus braucht. Zwei Frameworks regeln dies:

• Swiss–US Data Privacy Framework (Swiss–US DPF): operativ seit 15. September 2024, als die USA in Anhang 1 der schweizerischen Datenschutzverordnung aufgenommen wurden. Schweizer Organisationen dürfen an DPF-zertifizierte US-Empfänger ohne weitere Garantien übermitteln.
• EU–US Data Privacy Framework (EU–US DPF): von der Europäischen Kommission am 10. Juli 2023 angenommen (Durchführungsbeschluss (EU) 2023/1795). EU-Exporteure, einschliesslich französischer, dürfen an zertifizierte US-Empfänger ohne weitere Garantien übermitteln.

Prüfen Sie die Zertifizierung, bevor Sie sich auf eines der Frameworks verlassen. Ein US-Empfänger muss aktiv selbstzertifiziert sein, und die Zertifizierung muss den relevanten Datentyp abdecken (HR vs. Nicht-HR). Für einen US-Empfänger, der nicht DPF-zertifiziert ist, greifen SCCs (mit Swiss Finish für die schweizerische Strecke), ein TIA und erforderliche ergänzende Massnahmen.

Ein Statushinweis: Das EU–US DPF wurde angefochten und vom EU-Gericht am 3. September 2025 bestätigt (Rechtssache T-553/23, Latombe ./. Kommission), auf Basis der damals geltenden Fakten bei Annahme der Entscheidung von 2023. Eine Revision ist nun beim Gerichtshof anhängig (eingelegt am 31. Oktober 2025). Das Framework bleibt gültig und nutzbar — vorsichtige Programme halten SCCs als Fallback für US-Flüsse bereit.

Häufige Praxisszenarien

Ein SaaS-Anbieter mit Sitz in Frankreich für schweizerische Kunden

Der Frankreich↔Schweiz-Fluss ist durch gegenseitige Angemessenheit abgedeckt — keine SCCs für diese Strecke. Das Risiko liegt bei den Unterauftragsverarbeitern des Anbieters: US-Analytics, Support oder Infrastruktur. Kartieren Sie sie, bestätigen Sie DPF-Zertifizierung oder setzen Sie Swiss-Finish-SCCs plus TIA um, und stellen Sie sicher, dass der AVV Art. 9 Abs. 3 (vorherige Zustimmung für Unterauftragsverarbeiter) widerspiegelt. Hier leistet Vendor Due Diligence die eigentliche Arbeit — nicht die Überschrift „Übermittlung".

Eine Schweizer Bank mit französischem Auftragsverarbeiter

Das Datenschutzrecht behandelt dies als freie angemessenheitsbasierte Übermittlung — aber zwei separate Ebenen gelten, und Angemessenheit löst keine davon:

• Bankgeheimnis (Art. 47 BankG). Die Bekanntgabe kundenidentifizierender Daten an einen Anbieter im Ausland erfordert in der Regel entweder die ausdrückliche Einwilligung jedes Kunden (typischerweise über die AGB der Bank) oder technische Massnahmen — Verschlüsselung oder Pseudonymisierung, wobei die Bank die Schlüssel behält — sodass der Anbieter Kunden nicht re-identifizieren kann. Datenschutzgarantien ersetzen nicht die Einwilligung, die das Geheimhaltungsrecht verlangt.
• FINMA-Rundschreiben 2018/3 (Outsourcing – Banken und Versicherungsunternehmen), in Kraft seit 1. April 2018. Bei grenzüberschreitendem Outsourcing muss die Bank sicherstellen, dass sie, ihr Revisor und die FINMA Prüf- und Auditrechte ausüben können und dass im Ausland gespeicherte Daten jederzeit aus der Schweiz für Recovery und Resolution zugänglich bleiben.

Entsprechende Berufsgeheimnispflichten gelten für Vermögensverwalter, Treuhänder und Wertpapierfirmen gemäss Art. 69 des Finanzinstitutsgesetzes.

Ein Schweizer Unternehmen mit französischem Cloud-Hosting

Freie Übermittlung durch gegenseitige Angemessenheit; französisches/EU-Hosting wird oft gezielt gewählt, um US-Exposure zu vermeiden. Die Einschränkung: Wenn der Anbieter US-muttergesellschaftlich ist oder seine Unterauftragsverarbeiter auf die Daten zugreifen können, kann US-Zugriff durch Gesetz (z. B. CLOUD Act) Drittstaaten-Überlegungen wieder einführen, obwohl die Server in Frankreich stehen.

Weiterübermittlungen in andere Drittstaaten

Jede Weiterübermittlung in ein Land ohne Angemessenheit erfordert einen Mechanismus — DPF-Zertifizierung (nur USA), SCCs plus TIA und ergänzende Massnahmen oder eine enge gesetzliche Ausnahme nach Art. 17 FADP / Art. 49 GDPR.

Sanktionen: warum das schweizerische Modell anders ist

Das schweizerische FADP bestraft die verantwortliche natürliche Person, nicht das Unternehmen. Vorsätzliche Verstösse — einschliesslich unrechtmässiger Bekanntgabe ins Ausland, Einsatz eines nicht konformen Auftragsverarbeiters oder Verletzung minimaler Sicherheitsanforderungen — sind mit Strafgeldern von bis zu CHF 250'000 auf die verantwortliche natürliche Person und durch kantonale Staatsanwälte durchsetzbar. Nur vorsätzliche Verletzungen sind strafbar; Fahrlässigkeit wird unter diesen Bestimmungen nicht bestraft. Wo die Identifikation der Person unverhältnismässig wäre und die Busse CHF 50'000 nicht übersteigen würde, kann stattdessen das Unternehmen bestraft werden.

Die GDPR hingegen verhängt Verwaltungsgelder gegen das Unternehmen von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Organisationen, die in beiden Regimen operieren, bedeutet das die Budgetierung für zwei sehr unterschiedliche Exposures — finanzielles Unternehmensrisiko auf der EU-Seite, persönliche strafrechtliche Haftung benannter Personen auf der Schweizer Seite.

Praktische Compliance-Roadmap

Tag 0–30 — Kartieren. Erfassen Sie jeden Schweiz–Frankreich-Datenfluss und — kritisch — jede Weiterübermittlung und jeden Unterauftragsverarbeiter. Dokumentieren Sie, dass die direkte Strecke auf Angemessenheit basiert (EU-Anerkennung der Schweiz; Frankreich in Anhang 1 DSV). Markieren Sie jeden Unterauftragsverarbeiter in einem nicht angemessenen Staat.

Tag 30–60 — Lücken schliessen. Für US-Unterauftragsverarbeiter DPF-Zertifizierung prüfen; wo fehlend, Swiss-Finish-EU-SCCs plus TIA abschliessen. GDPR-Art.-28-DPAs einführen (erfüllen auch FADP Art. 9, einschliesslich Art. 9 Abs. 3 Unterauftragsverarbeiter-Genehmigung).

Tag 60–90 — Sektorspezifische Regeln. Für Finanzsektordaten Bankgeheimnis-Kontrollen (Kundeneinwilligung und/oder bankgehaltene Verschlüsselungsschlüssel) und FINMA-Rundschreiben-2018/3-Audit-, Prüf- und Schweiz-Zugänglichkeitsklauseln zusätzlich zum AVV.

Laufend — Überwachen. Revision Latombe beim Gerichtshof und jede neue EU-Angemessenheitsentscheidung für die Schweiz verfolgen; SCCs als Fallback für US-Flüsse bereithalten; TIAs bei Gesetzes- oder Unterauftragsverarbeiter-Änderungen neu durchführen.

Häufig gestellte Fragen

Ist die Schweiz unter der GDPR ein angemessenes Land?

Ja. Die Europäische Kommission erkannte die Schweiz in Entscheidung 2000/518/EG (2000) als angemessen an und bestätigte in ihrer Überprüfung vom 15. Januar 2024, dass die Schweiz weiterhin ein angemessenes Schutzniveau bietet. Frankreich stützt sich als EU-Mitglied auf diese Anerkennung.

Brauche ich SCCs, um personenbezogene Daten von Frankreich in die Schweiz zu übermitteln?

Nein. Frankreich stützt sich auf die EU-Angemessenheitsanerkennung der Schweiz; die Übermittlung erfordert keine SCCs oder zusätzlichen Garantien — nur die üblichen Verarbeitungs- und Vertragspflichten.

Brauche ich SCCs, um personenbezogene Daten von der Schweiz nach Frankreich zu übermitteln?

Nein. Frankreich steht auf der schweizerischen Liste der Staaten mit angemessenem Schutz (Anhang 1 der Datenschutzverordnung); die Übermittlung ist frei von SCC-Anforderungen.

Ist das schweizerische FADP dasselbe wie die GDPR?

Nein. Das FADP ist weitgehend an die GDPR angeglichen, aber schlanker. Die Auftragsverarbeiter-Regeln sind leichter, und die Sanktionen zielen auf die verantwortliche Person (bis CHF 250'000) statt auf umsatzbasierte Unternehmensbusen.

Welche Sanktionen drohen bei unrechtmässigen Datenübermittlungen nach schweizerischem Recht?

Vorsätzliche Verstösse sind mit Strafgeldern bis CHF 250'000 auf die verantwortliche Person und durch kantonale Staatsanwälte durchsetzbar. Ein Unternehmen kann nur bis CHF 50'000 bestraft werden, wenn die Identifikation der Person unverhältnismässig wäre.

Sind die EU Standard Contractual Clauses in der Schweiz gültig?

Ja, mit Anpassungen. Der EDÖB erkennt die EU-SCCs unter einem „Swiss Finish" an — Benennung des EDÖB als Aufsichtsbehörde, Anwendung des FADP und Schutz der Durchsetzungsrechte schweizerischer Betroffener.

Ist Fernzugriff aus dem Ausland eine Datenübermittlung nach schweizerischem Recht?

Ja. Die Gewährung von Zugriff aus dem Ausland auf in der Schweiz gespeicherte Daten gilt als Bekanntgabe ins Ausland, auch wenn die Daten nicht kopiert oder bewegt werden.

Kann eine Schweizer Bank einen Auftragsverarbeiter in Frankreich nutzen?

Ja, aber Datenschutz-Angemessenheit reicht nicht aus. Schweizer Bankgeheimnis (Art. 47 BankG) und FINMA-Rundschreiben 2018/3 gelten separat und erfordern typischerweise Kundeneinwilligung oder Verschlüsselung mit bankgehaltenen Schlüsseln plus Audit- und Schweiz-Zugänglichkeitsgarantien.

Ist das Swiss–US Data Privacy Framework gültig?

Ja. Das Swiss–US DPF ist seit 15. September 2024 operativ und erlaubt Übermittlungen an zertifizierte US-Empfänger ohne zusätzliche Garantien. Nicht zertifizierte Empfänger benötigen weiterhin SCCs und eine Übermittlungsbewertung.

Was ist ein Transfer Impact Assessment und wann brauche ich eines?

Ein TIA ist eine dokumentierte Prüfung, ob ein Bestimmungsstaat im Wesentlichen gleichwertigen Schutz bietet. Es ist erforderlich, wenn Sie sich auf SCCs oder BCRs stützen, um in ein nicht angemessenes Land zu übermitteln — nicht für die direkte Schweiz–Frankreich-Strecke.

Setzen Sie das für Ihren Vendor-Stack richtig um

Die meisten Schweiz–Frankreich-Compliance-Fehler betreffen nicht die Überschrift-Übermittlung — sondern den Unterauftragsverarbeiter drei Ebenen tiefer. Supplier Shield kartiert Ihre Datenflüsse, validiert die Übermittlungsmechanismen Ihrer Anbieter und prüft Ihre DPAs gegen FADP und GDPR.

DPO-Beratung buchen →

Weiterführende Lektüre: Das schweizerische nDSG (FADP) erklärt · GDPR Artikel 28: Pflichten von Auftragsverarbeitern

Dieser Artikel ist allgemeine Information, keine Rechtsberatung. Prüfen Sie Ihre konkrete Situation anhand Primärquellen — FADP und Datenschutzverordnung (Fedlex), EDÖB-/FDPIC-Leitlinien, CNIL und Angemessenheitsseiten der Europäischen Kommission — oder konsultieren Sie qualifizierte Berater.