Take-Aways (AI)
- Erleichterte Bedingungen zur Übermittlung von Personendaten in die USA gelten nur für US-Unternehmen mit Swiss‑US Privacy Shield‑Zertifizierung.
- Schweizer Unternehmen müssen vor Datenübermittlung die Privacy Shield List prüfen; sonst sind alternative Garantien erforderlich.
- Behörden können keine Swiss‑US Privacy Shield‑Zertifizierung erhalten.
- Nur privatwirtschaftliche Unternehmen unter FTC‑ und DOT‑Aufsicht können sich zertifizieren; Banken, Versicherungen und Telekommunikationsanbieter grundsätzlich nicht.
Mit Blick auf den Umstand, dass US Unternehmen sich seit dem 12. April 2017 für das Swiss-US Privacy Shield zertifizieren lassen können, hat der EDÖB am 2. Mai 2017 Hinweise für schweizerische Unternehmen zum Swiss-US Privacy Shield veröffentlicht (siehe hier):
- Die erleichterten Bedingungen bei der Personendatenübermittlung in die USA gelten in Bezug auf US Unternehmen, die für das Swiss-US Privacy Shield zertifiziert sind. Eine Zertifizierung für das EU-US Privacy Shield genügt nicht.
- Vor einer Personendatenübermittlung an US Unternehmen sollen schweizerische Unternehmen mittels der Konsultation der Privacy Shield List überprüfen, ob sich die betreffenden Unternehmen für das Swiss-US Privacy Shield haben zertifizieren lassen. Andernfalls bedarf die Personendatenübermittlung anderer hinreichender Garantien (etwa der EU Standardvertragsklauseln oder der binding corporate rules).
- Behörden können sich nicht für das Swiss-US Privacy Shield zertifizieren lassen.
- Privatrechtliche Unternehmen können sich nur zertifizieren lassen, wenn sie der Aufsicht der Federal Trade Commission (FTC) und des Department of Transportation (DOT) unterstehen. Folglich können sich Banken, Versicherungen und Telekommunikationsunternehmen grundsätzlich nicht zertifizieren lassen.