Wie bereits das alte DSG sieht auch das total revidierte DSG, welches am 1. September 2023 in Kraft getreten ist, vor, dass Personendaten grundsätzlich nur ins Ausland übermittelt werden dürfen, wenn der Empfängerstaat ein angemessenes Datenschutzniveau bietet (Art. 16 Abs. 1 DSG). Sofern kein dem Schweizer Datenschutzrecht äquivalenter Rechtsrahmen zum Schutz der Persönlichkeitsrechte natürlicher Personen besteht, dürfen Personendaten nur übermittelt werden, wenn zusätzliche Garantien vorliegen, wie bspw. Staatsverträge oder Vereinbarungen zwischen Unternehmen (Art. 16 Abs. 2 DSG). Der Bundesrat beurteilt die Angemessenheit des Datenschutzrechts anderer Staaten und veröffentlicht in Anhang 1 der Verordnung zum DSG eine Liste derjenigen Staaten, die über ein angemessenes Datenschutzrecht verfügen.

Die USA figurierten bislang nicht auf dieser Liste: Nachdem die EU am 26. Juli 2000 mit den USA das sog. Safe Harbor Framework abgeschlossen hatte, handelte auch die Schweiz eine ähnliche Vereinbarung mit den USA aus. Das Übereinkommen trat im Februar 2009 in Kraft. Nachdem der EuGH im Oktober 2015 in seinem Urteil Schrems I (EuGH-Urteil C-362/14) zum Schluss kam, dass die USA...