Nach Art. 16 ff. DSG dürfen Personendaten nur dann an einen Empfänger im Ausland bekannt gegeben werden (auch mittels Zugriff auf einen Server in der Schweiz), wenn das Datenschutzniveau im nämlichen Land ähnlich hoch ist, wie in der Schweiz. Der Bundesrat erstellt dafür eine Liste mit den Staaten, die aus schweizerischer Sicht ein genügendes Datenschutzniveau aufweisen und publiziert jene im Anhang 1 der Datenschutzverordnung (DSV). Nicht unter diese Bestimmung fällt, wenn Personendaten zur Information der Öffentlichkeit mittels automatisierter Informations- und Kommunikationsdienste (insb. Internet) allgemein zugänglich gemacht werden, auch wenn die Daten vom Ausland aus zugänglich sind (Art. 18 DSG). Verfügt ein Drittstaat über kein gleichwertiges Datenschutzniveau wie die Schweiz, ist der Datenexport trotzdem zulässig, wenn der schweizerische Datenexporteur mit dem ausländischen Datenempfänger die Einhaltung des Schweizer Datenschutzstandards vertraglich regelt. Die in der Praxis hierzu am häufigsten verwendeten Verträge sind die Standardklauseln der Europäischen Kommission, die es für Auftragsbearbeiter wie auch für Verantwortliche als Empfänger gibt.
Da insbesondere die EU das Datenschutzniveau des sehr wichtigen Handelspartners USA als nicht genügend hoch erachtet, haben die EU und die Schweiz mit den USA eine spezielle Lösung geschaffen. Im Abkommen «Privacy Shield» haben die EU, die Schweiz und die USA datenschutzrechtliche Standards definiert. Wenn US-Unternehmen diesem Abkommen beitreten, verpflichten sie sich, die entsprechenden Standards einzuhalten. Damit ist bei der Übermittlung von Personendaten an diese Unternehmen das von Art. 6 DSG verlangte ähnlich hohe Datenschutzniveau gewährleistet. Welche US-Unternehmen dem Abkommen beigetreten sind, kann unter folgendem Link abgerufen werden: www.privacyshield.gov/list.
Mit Entscheid vom 16. Juli 2020 erklärt der Europäische Gerichtshof den Privacy Shield-Beschluss 2016/1250 der Europäischen Kommission und damit die Anwendung des Abkommens «Privacy Shield» in der EU für ungültig. Der EDÖB (s. vorne) ist für das Verhältnis Schweiz-USA zum selben Schluss gekommen und hat die Anwendung des «Privacy Shield» Abkommen gemäss Stellungnahme vom 8. September 2020 ebenfalls ausgesetzt (s. dazu auch Artikel in Tages-Anzeiger Online vom 16.07.2020).
In der Folge verhandelte die EU-Kommission und die US-Regierung das neue «EU-US Data Privacy Framework», auch «Privacy Shield 2.0» genannt. Dieses trat am 10. Juli 2023 in Kraft. Um die vom EuGH im Schrems-I-Urteil erneut aufgezeigten Problematiken zu berücksichtigen, wurden neue verbindliche Garantien eingeführt, welche in der «Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities» von der USA als Grundlage des Angemessenheitsbeschlusses unterzeichnet wurden. Dadurch sollen US-Nachrichtendienste nur auf personenbezogene Daten aus der EU zugreifen können, wenn dies notwendig und verhältnismässig ist. Ausserdem sollen EU-Bürger eine Reihe neuer Rechte gegenüber US-Unternehmen (Datenempfängern) zur Verfügung stehen, die es möglich machen sollen, den Zugang zu ihren Daten, die Löschung oder die Berichtigung unrichtiger oder unrechtmässiger Daten durchzusetzen und dafür verschiedene Rechtsbehelfe offenhalten, unter anderem durch eine Schiedsstelle sowie unentgeltliche und unabhängig Streitbeilegungsmechanismen. (Quelle: https://de.wikipedia.org/wiki/EU-US_Data_Privacy_Framework 11.08.2023).
Gemäss einer Kurmeldung vom 10. Juli 2023 hat der EDÖB (s. vorne) «vom EU-US Data Privacy Framework» und dem entsprechenden Angemessenheitsbeschluss der EU Kenntnis genommen. Die Schweiz ist ebenfalls daran, mit den USA Gespräche zur Erstellung eines entsprechenden Rahmenwerks (Swiss-US Data Privacy Framework) zu führen. Diese Gespräche sind weit fortgeschritten. Ab dem 1. September 2023 ist es Aufgabe des Bundesrates, über die Angemessenheit eines Staates gemäss des neuen Schweizer Datenschutzgesetzes zu entscheiden. Er wird bestimmen, ob die USA zu gegebener Zeit in die Liste aufgenommen wird. Bis zum Vorliegen eines solchen Rahmenwerks ändert sich an der Angemessenheitsliste der Schweiz nichts». D.h. die Schweiz setzt die Teilnahme am Framework bis dahin weiterhin aus.