Nach Art. 16 ff. DSG dürfen Personendaten nur dann an einen Empfänger im Ausland bekannt gegeben werden, wenn das Datenschutzniveau im nämlichen Land ähnlich hoch ist, wie in der Schweiz. Der Bundesrat erstellt dafür eine Liste mit den Staaten, die aus schweizerischer Sicht ein genügendes Datenschutzniveau aufweisen und publiziert jene im Anhang 1 der Datenschutzverordnung (DSV).
Der Export von Daten aus der Schweiz in die USA fällt grundsätzlich unter das neue «EU-US Data Privacy Framework. Das Framework kommt aber nur zur Anwendung, wenn der Bundesrat das Datenschutzniveau der USA äquivalent zu demjenigen der Schweiz erklärt und im Anhang 1 der Datenschutzverordnung (DSV) publiziert. Das ist zum Zeitpunkt der Redaktion dieses Lösungsrasters (04.11.2023) noch nicht der Fall.
Verfügt ein Drittstaat über kein gleichwertiges Datenschutzniveau wie die Schweiz, ist der Datenexport trotzdem zulässig, wenn der schweizerische Datenexporteur mit dem ausländischen Datenempfänger die Einhaltung des Schweizer Datenschutzstandards vertraglich regelt. Die in der Praxis hierzu am häufigsten verwendeten Verträge sind die Standardklauseln der Europäischen Kommission, die es für Auftragsbearbeiter wie auch für Verantwortliche als Empfänger gibt.
Damit Facebook die entsprechenden Daten aus der Schweiz in die USA exportieren bzw. entsprechende Daten in der Schweiz erheben darf, muss m.E. der oder die Verantwortliche entweder mit Facebook in den USA eine, vorne erwähnte Vereinbarung für Auftragsbearbeiter abschliessen oder Facebook in den USA muss gegenüber ihren Usern in der Schweiz im Rahmen einer Vereinbarung mit diesen entsprechende Garantien abgeben.