Takeaways (AI):
- Der Bundesrat hat beschlossen, die USA in die Liste der Staaten mit angemessenem Datenschutzniveau aufzunehmen.
- Importeure wie Microsoft, Google, und Salesforce sind bereits nach dem CH‑U.S. Data Privacy Framework zertifiziert.
- Übermittlungen sind ohne Standardvertragsklauseln (SCC) zulässig, wenn die Empfänger zertifiziert sind.
- Ein Transfer Impact Assessment (TIA) ist nicht erforderlich, wenn auf das CH‑U.S.-DPF verwiesen wird.
- Exporteurs sollten vertraglich die Aufrechterhaltung der Zertifizierung eines Importeurs absichern.
Der Bundesrat hat in seiner Sitzung vom 14. August 2024 endlich entschieden, die USA in die Liste der Staaten mit angemessenem Datenschutzniveau nach Anhang 1 der DSV zu setzen, soweit der jeweilige Empfänger nach dem CH‑U.S. Data Privacy Framework zertifiziert ist. Die Änderung wird auf den 15. September 2024 in Kraft treten (siehe die Medienmitteilung dazu).
Das hat insbesondere folgende Wirkungen:
- Diverse Importeure wie bspw. Microsoft, Google, Amazon oder Salesforce haben sich bereits auch nach dem CH‑U.S. Data Privacy Framework zertifiziert. Sobald die Änderung der DSV in Kraft ist, kann sich ein Exporteur, dessen Export dem DSG unterfällt, auf das CH‑U.S.-DPF berufen.
- Übermittlungen in diesem Rahmen sind zulässig, ohne dass die Standardvertragsklauseln (SCC) geschlossen werden müssen.
- Auch Intra-Group-Übermittlungen können sich auf das CH‑U.S. DPF stützen, soweit die US-Empfängerin zertifiziert ist (und mit den entsprechenden Pflichten und Auflagen umgehen kann, einschliesslich der Vorgaben für auch konzerninterne Onward Transfers).
- Es ist kein Transfer Impact Assessment (TIA) notwendig, soweit sich eine Übermittlung auf das (CH- oder EU‑U.S.)-DPF stützt.
- Verlässt sich ein Exporteur auf die Zertifizierung eines Importeurs, sollte er sich die Aufrechterhaltung der Zertifizierung vertraglich zusichern lassen.
- Es spricht nichts dagegen, eine Übermittlung neben dem (CH- oder EU‑U.S.)-DPF auch auf die SCC zu stützen; im Gegenteil, viele Unternehmen werden so vorgehen. In diesem Fall kann auf ein TIA verzichtet werden, falls die SCC nur ein Auffangnetz darstellen (man kann sich auf den Standpunkt stellen, ein TIA bleibe strenggenommen notwendig, weil es wohl auch eine eigenständige vertragliche Pflicht unter den SCC ist). In der Schweiz zumindest wird der EDÖB kein TIA einfordern, wenn der CH‑U.S.-DPF eine Grundlage für die Übermittlung darstellt. Wird ein TIA weiterhin durchgeführt, kann es ferner einfacher ausfallen, weil der Angemessenheitsbeschluss der EU für das EU‑U.S.-DPF einen Teil des massgeblichen US-Rechts bereits abdeckt – das gilt auch dann, wenn sich eine Übermittlung nicht unter das DPF fällt. Man sollte sich als Exporteur aber überlegen, ob die primäre Grundlage das (CH- oder EU‑U.S.)-DPF oder die SCC sind. Eine klare Pflicht, diese Entscheidung zu treffen und zu dokumentieren, besteht zwar nicht, die Folgen sind aber nicht dieselben. Bspw. unterscheiden sich die Anforderungen nach den SCC und nach dem DPF, was die Information der betroffenen Personen betrifft.
- Im Fall einer Übermittlung aus der Schweiz in einen Staat mit angemessenem Datenschutzniveau und einer Weiterübermittlung von dort an einen nach dem EU-US DPF zertifizierten US-Empfänger deckt das EU-US DPF die Weiterübermittlung ab. Weder verlangt das DSG Geltung für diesen Fall der Weiterübermittlung (weil es anders als die DSGVO nicht die gesamte Kette “infiziert”), noch muss sich der US-Importeur für diesen Fall auch nach dem CH-US DPF zertifizieren.