Gemäss der EU-Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) verfügen die USA über kein angemessenes Datenschutzniveau. Folglich dürfen Personendaten nicht ohne Weiteres in die USA bekanntgegeben (d.h. Datenexport und -zugriff) werden.
Unternehmen, die sich nach Massgabe des EU-U.S. bzw. Swiss-U.S. Privacy Shield Frameworks zertifizieren lassen, können Personendaten aus der EU bzw. aus der Schweiz „empfangen“. Diesfalls wird für das konkrete Unternehmen ein angemessenes Datenschutzniveau in den USA gewährleistet. Aus diesem Grund sind sowohl der Datenexport aus der EU bzw. der Schweiz in die USA als auch der Zugriff auf Personendaten aus den USA in die EU bzw. Schweiz zulässig.
Im Zusammenhang mit dem Privacy Shield gab es in letzter Zeit folgende Entwicklungen:
(i) Die Art.-29-Datenschutzgruppe (WP29) veröffentlichte mit Datum vom 28. November 2017 ihre Opinion zum „EU – U.S. Privacy Shield – First annual Joint Review“.
(ii) Der EUGH entschied per Beschluss vom 22. November 2017, die Nichtigkeitsklage der Digital Rights Ireland gegen das EU-U.S. Privacy Shield sei mangels Aktivlegitimation der Klägerin unzulässig.
(iii) Die erstmalige Prüfung des EU-U.S. Privacy Shields durch die EU-Kommission fiel mit Bericht vom 18. Oktober 2017 positiv aus.
Unternehmen, die sich nach Massgabe des EU-U.S. bzw. Swiss-U.S. Privacy Shield Frameworks zertifizieren lassen, können Personendaten aus der EU bzw. aus der Schweiz „empfangen“. Diesfalls wird für das konkrete Unternehmen ein angemessenes Datenschutzniveau in den USA gewährleistet. Aus diesem Grund sind sowohl der Datenexport aus der EU bzw. der Schweiz in die USA als auch der Zugriff auf Personendaten aus den USA in die EU bzw. Schweiz zulässig.
Im Zusammenhang mit dem Privacy Shield gab es in letzter Zeit folgende Entwicklungen:
(i) Die Art.-29-Datenschutzgruppe (WP29) veröffentlichte mit Datum vom 28. November 2017 ihre Opinion zum „EU – U.S. Privacy Shield – First annual Joint Review“.
(ii) Der EUGH entschied per Beschluss vom 22. November 2017, die Nichtigkeitsklage der Digital Rights Ireland gegen das EU-U.S. Privacy Shield sei mangels Aktivlegitimation der Klägerin unzulässig.
(iii) Die erstmalige Prüfung des EU-U.S. Privacy Shields durch die EU-Kommission fiel mit Bericht vom 18. Oktober 2017 positiv aus.