Nach Art. 16 ff. DSG dürfen Personendaten nur dann an einen Empfänger im Ausland bekanntgegeben werden (auch mittels Zugriff auf einen Server in der Schweiz), wenn das Datenschutzniveau im nämlichen Land ähnlich hoch ist, wie in der Schweiz. Der Bundesrat erstellt dafür eine Liste mit den Staaten, die aus schweizerischer Sicht ein genügendes Datenschutzniveau aufweisen, und publiziert jene im Anhang 1 der Datenschutzverordnung (DSV). Nicht unter diese Bestimmung fällt, wenn Personendaten zur Information der Öffentlichkeit mittels automatisierter Informations- und Kommunikationsdienste (insb. Internet) allgemein zugänglich gemacht werden, auch wenn die Daten vom Ausland aus zugänglich sind (Art. 18 DSG). Verfügt ein Drittstaat über kein gleichwertiges Datenschutzniveau wie die Schweiz, ist der Datenexport trotzdem zulässig, wenn der schweizerische Datenexporteur mit dem ausländischen Datenempfänger die Einhaltung des Schweizer Datenschutzstandards vertraglich regelt. Die in der Praxis hierzu am häufigsten verwendeten Verträge sind die Standardklauseln der Europäischen Kommission, die es für Auftragsbearbeiter wie auch für Verantwortliche als Empfänger gibt.
Da insbesondere die EU das Datenschutzniveau des sehr wichtigen Handelspartners USA als nicht genügend hoch erachtet, haben die EU und die Schweiz mit den USA eine spezielle Lösung geschaffen. Im Abkommen EU-Swiss–U.S. Data Privacy Framework (EU-Swiss–U.S. DPF) haben die EU, die Schweiz und die USA datenschutzrechtliche Standards definiert. Wenn US-Unternehmen diesem Abkommen beitreten, verpflichten sie sich, die entsprechenden Standards einzuhalten. Damit ist bei der Übermittlung von Personendaten an diese Unternehmen das von Art. 6 ff. DSG verlangte ähnlich hohe Datenschutzniveau gewährleistet. Welche US-Unternehmen dem Abkommen beigetreten sind, kann unter folgendem Link abgerufen werden: https://www.dataprivacyframework.gov/list.
Am 15. September 2024 trat das EU-Swiss–U.S. DPF auch für die Schweiz in Kraft, nachdem der Bundesrat am 14. August 2024 einen entsprechenden Angemessenheitsbeschluss gefasst hatte. Dieser besagt, dass zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau im Sinne des Schweizer Datenschutzgesetzes (DSG) gewährleisten (s. Medienmitteilung 14.08.2024).