Am 2. Mai 2017 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) auf seiner Webseite Hinweise zum Swiss-US Privacy Shield. Danach können sich amerikanische Unternehmen auf der Privacy Shield-Webseite des US-Departement of Commerce (DOC) registrieren und die Zertifizierungsvoraussetzungen erfüllen. Die Webseite enthält auch eine Übersicht mit FAQ.
Im Zusammenhang mit dem Swiss-US Privacy Shield sollten schweizerische Unternehmen gemäss EDÖB u.a. folgende Hinweise beachten:
(i) Schweizer Unternehmen können bei der Datenübermittlung an amerikanische Unternehmen nur von den erleichterten Bedingungen profitieren, wenn letztere für das Swiss-US Privacy Shield zertifiziert sind und den EDÖB demzufolge als Aufsichtsorgan anerkennen. Eine Zertifizierung für das EU-US Privacy Shield genügt nicht.
(ii) Bevor Schweizer Unternehmen Personendaten an amerikanische Unternehmen übermitteln, müssen sie prüfen, ob diese für das Swiss-US Privacy Shield zertifiziert sind. (...) Ist ein amerikanisches Unternehmen nicht zertifiziert, so müssen andere Massnahmen getroffen werden, um Personendaten datenschutzkonform zu übermitteln. Dazu zählen vertragliche Garantien oder Binding Corporate Rules (...).
(iii) Behörden können sich nicht für das Swiss-US Privacy Shield zertifizieren lassen.
(iv) Im privatrechtlichen Bereich können sich nur Unternehmen zertifizieren lassen, die der Aufsicht der Federal Trade Commission (FTC) und des Department of Transportation (DOT) unterstehen. Banken, Versicherungen und Telekommunikationsunternehmen können sich in der Regel nicht zertifizieren lassen (...).
Michal Cichocki
Im Zusammenhang mit dem Swiss-US Privacy Shield sollten schweizerische Unternehmen gemäss EDÖB u.a. folgende Hinweise beachten:
(i) Schweizer Unternehmen können bei der Datenübermittlung an amerikanische Unternehmen nur von den erleichterten Bedingungen profitieren, wenn letztere für das Swiss-US Privacy Shield zertifiziert sind und den EDÖB demzufolge als Aufsichtsorgan anerkennen. Eine Zertifizierung für das EU-US Privacy Shield genügt nicht.
(ii) Bevor Schweizer Unternehmen Personendaten an amerikanische Unternehmen übermitteln, müssen sie prüfen, ob diese für das Swiss-US Privacy Shield zertifiziert sind. (...) Ist ein amerikanisches Unternehmen nicht zertifiziert, so müssen andere Massnahmen getroffen werden, um Personendaten datenschutzkonform zu übermitteln. Dazu zählen vertragliche Garantien oder Binding Corporate Rules (...).
(iii) Behörden können sich nicht für das Swiss-US Privacy Shield zertifizieren lassen.
(iv) Im privatrechtlichen Bereich können sich nur Unternehmen zertifizieren lassen, die der Aufsicht der Federal Trade Commission (FTC) und des Department of Transportation (DOT) unterstehen. Banken, Versicherungen und Telekommunikationsunternehmen können sich in der Regel nicht zertifizieren lassen (...).
Michal Cichocki