Was müssen heimische Unternehmen jetzt tun?

In einem ersten Schritt sollten die betroffenen Unternehmen abwägen, welche zusätzlichen Massnahmen erfolgsversprechend sind, um die bestehenden Risiken zu reduzieren. Im Fokus steht insbesondere die Verarbeitung von personenbezogenen Daten in den USA, was einen Grossteil der Datenverarbeitung von Unternehmen betrifft. Je nach Kategorie der betroffenen personenbezogenen Daten sind zusätzliche Abklärungen und Vorkehrungen unerlässlich wie beispielsweise bei der Verarbeitung von besonders schützenswerten Personendaten wie Gesundheitsdaten.

In jedem Fall sollten bei Transfers von Personendaten ausserhalb der EU die jeweils aktuellsten Standardvertragsklauseln vereinbart werden. Auch hier gilt, dass vieles im Wandel ist und die Standartvertragsklauseln zurzeit überarbeitet werden. Sobald aktualisiert, sollte die aktuellste Version implementiert und vereinbart werden. Zudem muss überprüft werden, ob das lokale Recht den geschilderten Anforderungen entspricht. Es ist sodann eine Risikoabwägung für die in Frage stehenden Länder vorzunehmen.

Ohne eine umfassende Analyse der Unternehmenssituation kann ein Schweizer Unternehmen den neuen Anforderungen gemäss des Schrems II-Urteils nicht nachkommen. Es ist wichtig, eine Standortbestimmung zu machen, die sechs oben genannten Schritte umzusetzen und dies auch laufend zu überwachen und anzupassen. Untätig zu bleiben ist nicht empfehlenswert und erhöht das Risiko erheblich.