Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 27. August 2021 die revidierten EU-Standardvertragsklauseln für eine Datenübermittlung in Länder ohne ein angemessenes Datenschutzniveau grundsätzlich anerkannt. Erforderlich ist allerdings, dass gewisse Anpassungen vorgenommen werden.
Was ist der Hintergrund?
Seit dem 15. Juni 2021 gelten die neuen EU-Standardvertragsklauseln (EU Standard Contractual Clauses – SCC) für die Übermittlung von personenbezogenen Daten in sogenannte unsichere Drittsaaten, d. h. in Länder ausserhalb der EU bzw. des EWR, welchen von der EU-Kommission kein angemessenes Datenschutzniveau attestiert wird.
Neu an den SCC ist vor allem ihr Aufbau. So sind die verschiedenen Varianten der Datentransfers nicht länger auf zwei verschiedene SCC-Muster (Verantwortlicher – Verantwortlicher respektive Verantwortlicher – Controller) verteilt, sondern sie finden sich in einem einzigen Dokument wieder. Das Dokument gliedert sich in vier verschiedene Module, was eine flexible Vertragsgestaltung ermöglichen soll. Dafür soll das entsprechende Modul gemäss dem Verhältnis der Parteien ausgewählt werden.
Folgende Module sind in den neuen SCC enthalten:
- Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen
- Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter
- Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
- Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen
Inhaltlich neu in den SCC ist insbesondere die Pflicht zur Erarbeitung eines Transfer Impact Assessments. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen. Das Transfer Impact Assessment muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.
Ebenfalls neu enthalten sind die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen, und das Informieren der zuständigen Aufsichtsbehörden über diese Anfragen.
Welche Anpassungen und Ergänzungen an die SCC müssen gemäss EDÖB vorgenommen werden?
Der EDÖB anerkennt grundsätzlich die SCC, zeigt aber in seiner Stellungnahme auf, welche Anpassungen und Ergänzungen bei den SCC notwendig sind, um den schweizerischen Belangen Rechnung zu tragen. Er unterscheidet dabei zwischen Datenübermittlungen, die nur dem DSG unterstehen, und solchen, die neben dem DSG auch der DSGVO unterstehen. Die Anpassungen betreffen im Wesentlichen:
- Zuständigkeit der Aufsichtsbehörde
- Anwendbares Recht für vertragliche Ansprüche
- Gerichtsstand für Klagen zwischen den Parteien
- Anpassungen bzw. Ergänzungen betreffend Gerichtsstand für Klagen von betroffenen Personen
- Anpassungen betreffend Verweisen auf die DSGVO
- Ergänzung bis zum Inkrafttreten des revidierten DSG
Die ausführliche Stellungnahme des EDÖB ist hier abrufbar. Die SCC sind hier abrufbar.
Ab wann gelten die SCC?
Die bisherigen SCC dürfen noch bis zum 27. September 2021 verwendet werden. Danach dürfen sie noch während einer Übergangsfrist bis zum 31. Dezember 2022 in Gebrauch bleiben, sofern sich die „Datenbearbeitung“ und der Vertrag in der Zwischenzeit nicht wesentlich ändern.
Exkurs: Gelten die SCC als Garant für eine rechtmässige Übermittlung in ein unsicheres Drittland?
Auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des Europäischen Gerichtshofs (EuGH) aus dem Schrems-II-Urteil vom 16. Juli 2020 gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor allem der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden. Es ist demnach nicht damit getan, die neuen SCC einfach zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um einen sicheren Datentransfer in Drittländer zu gewährleisten
Der EDÖB hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von personenbezogenen Daten ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland nach Art. 6 Abs. 2 lit. a DSG, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss. Die Anleitung ist hier abrufbar.