Im Nachgang zum Schrems II Urteil des EuGH hat sich der Eidgenössische Datenschutzbeauftragte (EDÖB) zum Swiss-US Privacy Shield und zu Datentransfers in die USA geäussert. Mit der Stellungnahme und der Anpassung der Staatenliste stellt die Swiss-US Privacy Shield Zertifizierung in der Regel auch aus Schweizer Sicht keine ausreichende Garantie für Datentransfers in die USA mehr dar. Die Staatenliste des EDÖB wird mittelfristig zwar abgeschafft und der Bundesrat könnte eine Swiss-US Privacy Shield Zertifizierung unter dem totalrevidierten DSG als angemessene Garantie für einen Datenexport in die Vereinigten Staaten anerkennen. Bundesrat und EDÖB dürften den grenzüberschreitenden Datentransfer aber weiterhin mit Blick auf die Rechtsentwicklung in der EU regulieren und mit einem EU-US Privacy Shield 2.0 ist zumindest in naher Zukunft nicht zu rechnen. Ob der Swiss-US Privacy Shield weiterbestehen wird, ist daher höchst ungewiss. Die Bedeutung von vertraglichen Garantien bei Datentransfers in die USA nimmt damit zu. Da der Einsatz der bisher häufig vereinbarten Standard Contractual Clauses (SCC) unter dem EU Recht einer Einzelfallprüfung bedarf, sind Schweizer Unternehmen auch mit Blick auf das revidierte Datenschutzgesetz und dessen strafrechtliche Sanktionen gut beraten, die notwendigen Anpassungen von vertraglichen Garantien wie den SCC, aber auch Binding Corporate Rules (BCR), schon jetzt einzuleiten. Dies gilt für Datentransfers in die USA sowie in andere Länder, die gemäss geltender Einschätzung aus schweizerischer Sicht kein angemessenes Datenschutzniveau bieten.
