Mit dem Urteil vom 16.07.2020 wurde das Privacy Shield mit sofortiger Wirkung als Möglichkeit des Datentransfers in die USA als ungültig erklärt.

Für Unternehmen in der Schweiz bedeutet dies, dass mit einer baldigen Anpassung des Schweiz-USA Privacy Shields zu rechnen ist, wodurch alternative Möglichkeiten zum Transfer in die USA gefunden werden müssen. Hier stehen die Standardvertragsklauseln (SCC) im Vordergrund, welche gemäss EUGH nun eine detaillierte Prüfung der Gegebenheiten im Empfängerland bedürfen und eine Gesamtbetrachtung der Umstände. Es genügt nicht mehr die SCC abzuschliessen, ohne die Umstände des Transfers näher zu beleuchten und auf Ihre Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen zu prüfen.

Als sofortige Schritte ist daher folgenden Vorgehen zu empfehlen:

• Prüfung der Auftragsverarbeiter, welche das Privacy Shield nutzen (mit der Priverion Plattform können Sie dies einfach prüfen)
• Abschluss einer alternativen Übertragungsmöglichkeit wie z.B. der Standardvertragsklauseln
• Prüfung der Einzelfälle und Dokumentation der Prüfung in den Fällen, in denen SCC genutzt werden

Unser Team steht Ihnen unter zur Terminvereinbarung für eine ausführliche Beratung zur Verfügung.

Nachdem das Privacy Shield aufgehoben wurde, entstand eine rechtliche Grauzone für den Datentransfer zwischen der EU und den USA. Um dieses Problem anzugehen, wurde 2023 das EU-US Privacy Framework (DPF)-Programm eingeführt. Dieses neue Rahmenwerk gewährleistet sichere Datenströme für Europäer:innen und bietet Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit.

Zusätzlich wurden die britische Erweiterung des EU-U.S. Data Privacy Framework (UK extension to the EU-U.S. DPF) und das Swiss-U.S. Datenschutz-Rahmenwerk (Swiss-U.S. DPF) entwickelt, um den transatlantischen Handel zu erleichtern. Diese Rahmenwerke bieten US-Organisationen zuverlässige Mechanismen zur Übermittlung personenbezogener Daten aus der Europäischen Union / dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich (einschliesslich Gibraltar) und der Schweiz in die Vereinigten Staaten, die mit den Datenschutzgesetzen der EU, des Vereinigten Königreichs und der Schweiz konform sind.

Die Umsetzung dieser Rahmenwerke markiert einen bedeutenden Schritt zur Stärkung der transatlantischen Beziehungen und zur Förderung des Datenschutzes. Die USA haben beispiellose Zusagen zur Einrichtung des neuen Rahmens umgesetzt, was das Vertrauen der Bürger:innen in die Sicherheit ihrer Daten stärkt und gleichzeitig die gemeinsamen Werte zwischen der EU und den USA unterstreicht.

Um von diesen Rahmenwerken zu profitieren, müssen Organisationen ihre Einhaltung der DPF-Prinzipien gegenüber der ITA zertifizieren und auf der Data Privacy Framework List platziert werden. Eine Streichung von dieser Liste bedeutet, dass Organisationen nicht mehr behaupten können, dem EU-US-Datenschutzrahmenwerk oder den Erweiterungen anzugehören und personenbezogene Daten gemäss den entsprechenden Teilen des DPF-Programms zu erhalten.