Takea­ways (AI):
  • Der Bun­des­rat hat beschlos­sen, die USA in die Liste der Staa­ten mit ange­mes­se­nem Daten­schutz­ni­veau aufzunehmen.
  • Impor­teu­re wie Micro­soft, Goog­le, und Sales­force sind bereits nach dem CH‑U.S. Data Pri­va­cy Frame­work zertifiziert.
  • Über­mitt­lun­gen sind ohne Stan­dard­ver­trags­klau­seln (SCC) zuläs­sig, wenn die Emp­fän­ger zer­ti­fi­ziert sind.
  • Ein Trans­fer Impact Assess­ment (TIA) ist nicht erfor­der­lich, wenn auf das CH‑U.S.-DPF ver­wie­sen wird.
  • Expor­teurs soll­ten ver­trag­lich die Auf­recht­erhal­tung der Zer­ti­fi­zie­rung eines Impor­teurs absichern.

Der Bun­des­rat hat in sei­ner Sit­zung vom 14. August 2024 end­lich ent­schie­den, die USA in die Liste der Staa­ten mit ange­mes­se­nem Daten­schutz­ni­veau nach Anhang 1 der DSV zu set­zen, soweit der jewei­li­ge Emp­fän­ger nach dem CH‑U.S. Data Pri­va­cy Frame­work zer­ti­fi­ziert ist. Die Ände­rung wird auf den 15. Sep­tem­ber 2024 in Kraft tre­ten (sie­he die Medi­en­mit­tei­lung dazu).

Das hat ins­be­son­de­re fol­gen­de Wirkungen:

  • Diver­se Impor­teu­re wie bspw. Micro­soft, Goog­le, Ama­zon oder Sales­force haben sich bereits auch nach dem CH‑U.S. Data Pri­va­cy Frame­work zer­ti­fi­ziert. Sobald die Ände­rung der DSV in Kraft ist, kann sich ein Expor­teur, des­sen Export dem DSG unter­fällt, auf das CH‑U.S.-DPF berufen.
  • Über­mitt­lun­gen in die­sem Rah­men sind zuläs­sig, ohne dass die Stan­dard­ver­trags­klau­seln (SCC) geschlos­sen wer­den müssen.
  • Auch Intra-Group-Über­mitt­lun­gen kön­nen sich auf das CH‑U.S. DPF stüt­zen, soweit die US-Emp­fän­ge­rin zer­ti­fi­ziert ist (und mit den ent­spre­chen­den Pflich­ten und Auf­la­gen umge­hen kann, ein­schliess­lich der Vor­ga­ben für auch kon­zern­in­ter­ne Onward Transfers).
  • Es ist kein Trans­fer Impact Assess­ment (TIA) not­wen­dig, soweit sich eine Über­mitt­lung auf das (CH- oder EU‑U.S.)-DPF stützt.
  • Ver­lässt sich ein Expor­teur auf die Zer­ti­fi­zie­rung eines Impor­teurs, soll­te er sich die Auf­recht­erhal­tung der Zer­ti­fi­zie­rung ver­trag­lich zusi­chern lassen.
  • Es spricht nichts dage­gen, eine Über­mitt­lung neben dem (CH- oder EU‑U.S.)-DPF auch auf die SCC zu stüt­zen; im Gegen­teil, vie­le Unter­neh­men wer­den so vor­ge­hen. In die­sem Fall kann auf ein TIA ver­zich­tet wer­den, falls die SCC nur ein Auf­fang­netz dar­stel­len (man kann sich auf den Stand­punkt stel­len, ein TIA blei­be streng­ge­nom­men not­wen­dig, weil es wohl auch eine eigen­stän­di­ge ver­trag­li­che Pflicht unter den SCC ist). In der Schweiz zumin­dest wird der EDÖB kein TIA ein­for­dern, wenn der CH‑U.S.-DPF eine Grund­la­ge für die Über­mitt­lung dar­stellt. Wird ein TIA wei­ter­hin durch­ge­führt, kann es fer­ner ein­fa­cher aus­fal­len, weil der Ange­mes­sen­heits­be­schluss der EU für das EU‑U.S.-DPF einen Teil des mass­geb­li­chen US-Rechts bereits abdeckt – das gilt auch dann, wenn sich eine Über­mitt­lung nicht unter das DPF fällt. Man soll­te sich als Expor­teur aber über­le­gen, ob die pri­mä­re Grund­la­ge das (CH- oder EU‑U.S.)-DPF oder die SCC sind. Eine kla­re Pflicht, die­se Ent­schei­dung zu tref­fen und zu doku­men­tie­ren, besteht zwar nicht, die Fol­gen sind aber nicht die­sel­ben. Bspw. unter­schei­den sich die Anfor­de­run­gen nach den SCC und nach dem DPF, was die Infor­ma­ti­on der betrof­fe­nen Per­so­nen betrifft.
  • Im Fall einer Über­mitt­lung aus der Schweiz in einen Staat mit ange­mes­se­nem Daten­schutz­ni­veau und einer Wei­ter­über­mitt­lung von dort an einen nach dem EU-US DPF zer­ti­fi­zier­ten US-Emp­fän­ger deckt das EU-US DPF die Wei­ter­über­mitt­lung ab. Weder ver­langt das DSG Gel­tung für die­sen Fall der Wei­ter­über­mitt­lung (weil es anders als die DSGVO nicht die gesam­te Ket­te “infi­ziert”), noch muss sich der US-Impor­teur für die­sen Fall auch nach dem CH-US DPF zertifizieren.

AI-generierte Takeaways können falsch sein.