Seit kurzer Zeit ist Facebook gemäss dem amerikanisch-schweizerischen Privacy Shield zertifiziert. Für Schweizer Unternehmen, die beispielsweise Facebook-Werbung nutzen, stellt diese Zertifizierung eine erhebliche Erleichterung dar:
Solange Facebook sich Facebook an die entsprechenden Garantien und Vorgaben zum Schutz von Personendaten hält, gilt der Datenschutz bei Facebook in den USA aus schweizerischer Sicht als angemessen.
Hintergrund: Angemessener Datenschutz in den USA durch Privacy Shield
Personendaten dürfen nur ins Ausland bekannt gegeben werden, wenn im jeweiligen Land ein angemessener Datenschutz gewährleistet ist (Art. 6 DSG).
Bei Unternehmen in den USA gilt der Datenschutz als angemessen, wenn sie sich gemäss dem zertifizieren lassen. Die Zertifizierung gemäss dem weitgehend identischen Privacy Shield zwischen der Europäischen Union (EU) und den USA genügt aus Schweizer Sicht nicht.
Gleichzeitig ist vielen amerikanischen Unternehmen unklar, dass die Schweiz nicht zur EU zählt oder sie scheuen den – wenn auch geringen – Mehraufwand für den amerikanisch-schweizerischen Privacy Shield.
Unternehmen in der Schweiz, die auf die Dienstleistungen von amerikanischen Internet-Unternehmen angewiesen sind, müssen in solchen Fällen auf andere datenschutzrechtliche Instrumente wie beispielsweise Standardvertragsklauseln ausweichen. Allerdings ist damit ein Mehraufwand verbunden oder die Instrumente stehen gar nicht zur Verfügung.
Facebook war ein Beispiel für ein amerikanisches Internet-Unternehmen, das sich zwar dem Privacy Shield zwischen der EU und der USA, bis vor kurzem aber nicht jenem zwischen der Schweiz und den USA unterworfen hatte. Mit der Zertifizierung am 3. November 2017 hat Facebook diesen unbefriedigenden Zustand beendet.
Privacy Shield List: Angaben zu Facebook und anderen amerikanischen Unternehmen
Die Zertifizierung von amerikanischen Unternehmen kann man der Privacy Shield List entnehmen. Im Eintrag von Facebook findet man unter anderem die Kontaktadressen für datenschutzrechtliche Anliegen, wobei für Beschwerden eine Reaktionszeit von 45 Tagen gilt:
«Facebook, Inc.
Gabriel Ledeen, Privacy Counsel
1601 Willow Road
Menlo Park, CA 94025
USA
Für die EU zählt die Liste inzwischen über 2’500 zertifizierte Unternehmen. Für die Schweiz wächst die Zahl der zertifizierten Unternehmen, liegt momentan aber noch unter 1’000.
Der Schweizerische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat einen «Leitfaden zum Swiss-US Privacy Shield» (Sicherungskopie) veröffentlicht.