Die Übermittlung von Personendaten in Länder, die gemessen am schweizerischen Standard keinen angemessenen Schutz von Personendaten gewährleisten, ist nur unter den gewissen Bedingungen zulässig. Diese sind:
- Abschluss eines Vertrages mit den Datenempfängern im Ausland, der hinreichende Garantien für die Gewährleistung eines angemessenen Schutzes im Ausland enthält (vgl. dazu weiter unten). Der Vertrag ist zudem dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden;
- Es liegt eine spezifische Einwilligung der betroffenen Personen vor;
- Die Übermittlung steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags und es handelt sich um Personendaten des Vertragspartners;
- Es handelt sich um einen Einzelfall und die Übermittlung ist für die Wahrung eines überwiegenden öffentlichen Interesses oder für die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht unerlässlich;
- Die Bekanntgabe ist erforderlich, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen;
- Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt; oder
- Die Bekanntgabe findet innerhalb derselben Gesellschaft oder zwischen Gesellschaften, die einer einheitlichen Leitung unterstehen, statt und die Beteiligten unterstehen Datenschutzregeln, die einen angemessenen Schutz gewährleisten (sog. Binding Corporate Rules).
Die Mitgliedsstaaten der EU und des EWR gewährleisten ein angemessenes Datenschutzniveau für Daten von natürlichen Personen. Das für Übermittlungen in die USA vorgesehene US-Swiss Privacy Shield Framework genügt den Anforderungen nicht mehr (siehe https://swissdataprotectionlaw.ch/swiss-us-privacy-shield-gemaess-edoeb-ungenuegend/ ).
Bislang wurde für die Bekanntgabe von Personendaten in Länder, die nicht auf der Staatenliste des EDÖB als „sicher“ aufgeführt sind, oft die EU-Standardvertragsklauseln verwendet. Diese dürfen jedoch inzwischen nicht mehr ohne weiteres verwendet werden. Der EDÖB verlangt eine umfassende Analyse des Datentransfers im Einzelfall und unter den rechtlichen Umständen im Empfängerland. Der Datenexporteur muss alle nötigen Abklärungen vornehmen (z.B. Einholen von unabhängigen Rechtsgutachten), um zu prüfen, ob mit den vertraglichen Regelungen der Datenschutz tatsächlich gewährleistet werden kann. Der EDÖB hat als Hilfsmittel für diese Abklärungen ein Prüfschema erstellt.