Personendaten dürfen gem. Art. 6 Abs. 1 DSG aus der Schweiz nur ins Ausland bekannt gegeben und dort bearbeitet werden, wenn im betreffenden anderen Land insbesondere ein angemessener Datenschutz gewährleistet ist.
Als der EuGH mit Urteil vom 6. Oktober 2015 die Safe Harbor-Regelung zwischen der Europäischen Union und den USA für ungültig erklärte, hatte das nach Ansicht der zuständigen Eidgenössische Datenschutz- und Öffentlichtskeitsbeauftragten (EDÖB) ebenfalls die Konsequenz, dass das Safe Harbor-Abkommen zur Absicherung des gleichwertigen Datenschutzniveaus in den USA ungenügend geworden sei.
Seit dem 12. April 2017 können sich amerikanische Unternehmen für das Swiss-US Privacy Shield zertifizieren lassen. Dazu müssen sie sich beim Department of Commerce (DOC) auf der Website www.privacyshield.gov/PrivacyShield/ApplyNow registrieren und die Zertifizierungsvoraussetzungen erfüllen.
Ist ein amerikanisches Unternehmen nicht zertifiziert, so müssen andere Massnahmen getroffen werden, um Personendaten datenschutzkonform zu übermitteln. Dazu zählen vertragliche Garantien oder Binding Corporate Rules (vgl. Art. 6 Abs. 2 DSG).
Der EDÖB hat am 24.08.2017 eine praktische Broschüre zum Swiss-US Privacy Shield erstellt. Sie informiert einfach und verständlich über die Pflichten der zertifizierten Unternehmen, die Rechte betroffener Personen und wie diese im Beschwerdefall vorgehen können.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
(Foto: © Andrea Danti/Fotolia.com)