EDÖB anerkennt die neuen SCCs

Aug 28, 2021

 

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 27. August 2021 die revidierten EU-Standardvertragsklauseln für eine Datenübermittlung in Länder ohne ein angemessenes Datenschutzniveau grundsätzlich anerkannt. Erforderlich ist allerdings, dass gewisse Anpassungen vorgenommen werden.

 

 

Was ist der Hintergrund?

Seit dem 15. Juni 2021 gelten die neuen EU-Standardvertragsklauseln (EU Standard Contractual Clauses – SCC) für die Übermittlung von personenbezogenen Daten in sogenannte unsichere Drittsaaten, d. h. in Länder ausserhalb der EU bzw. des EWR, welchen von der EU-Kommission kein angemessenes Datenschutzniveau attestiert wird.

Neu an den SCC ist vor allem ihr Aufbau. So sind die verschiedenen Varianten der Datentransfers nicht länger auf zwei verschiedene SCC-Muster (Verantwortlicher – Verantwortlicher respektive Verantwortlicher – Controller) verteilt, sondern sie finden sich in einem einzigen Dokument wieder. Das Dokument gliedert sich in vier verschiedene Module, was eine flexible Vertragsgestaltung ermöglichen soll. Dafür soll das entsprechende Modul gemäss dem Verhältnis der Parteien ausgewählt werden.

Folgende Module sind in den neuen SCC enthalten:

  • Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen
  • Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter
  • Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
  • Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen

Inhaltlich neu in den SCC ist insbesondere die Pflicht zur Erarbeitung eines Transfer Impact Assessments. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen. Das Transfer Impact Assessment muss dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.

Ebenfalls neu enthalten sind die Pflicht zur Abwehr von Regierungsanfragen, die den Anforderungen der Standardschutzklauseln widersprechen, und das Informieren der zuständigen Aufsichtsbehörden über diese Anfragen.

 

 

Welche Anpassungen und Ergänzungen an die SCC müssen gemäss EDÖB vorgenommen werden?

Der EDÖB anerkennt grundsätzlich die SCC, zeigt aber in seiner Stellungnahme auf, welche Anpassungen und Ergänzungen bei den SCC notwendig sind, um den schweizerischen Belangen Rechnung zu tragen. Er unterscheidet dabei zwischen Datenübermittlungen, die nur dem DSG unterstehen, und solchen, die neben dem DSG auch der DSGVO unterstehen. Die Anpassungen betreffen im Wesentlichen:

  • Zuständigkeit der Aufsichtsbehörde
  • Anwendbares Recht für vertragliche Ansprüche
  • Gerichtsstand für Klagen zwischen den Parteien
  • Anpassungen bzw. Ergänzungen betreffend Gerichtsstand für Klagen von betroffenen Personen
  • Anpassungen betreffend Verweisen auf die DSGVO
  • Ergänzung bis zum Inkrafttreten des revidierten DSG

Die ausführliche Stellungnahme des EDÖB ist hier abrufbar. Die SCC sind hier abrufbar.

 

 

Ab wann gelten die SCC?

Die bisherigen SCC dürfen noch bis zum 27. September 2021 verwendet werden. Danach dürfen sie noch während einer Übergangsfrist bis zum 31. Dezember 2022 in Gebrauch bleiben, sofern sich die „Datenbearbeitung“ und der Vertrag in der Zwischenzeit nicht wesentlich ändern.

 

 

Exkurs: Gelten die SCC als Garant für eine rechtmässige Übermittlung in ein unsicheres Drittland?

Auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des Europäischen Gerichtshofs (EuGH) aus dem Schrems-II-Urteil vom 16. Juli 2020 gerecht zu werden. Bei einer solchen Einzelfallprüfung müssen vor allem der Vertragstext und das tatsächliche Datenschutzniveau überprüft werden. Es ist demnach nicht damit getan, die neuen SCC einfach zu unterschreiben, sondern der Verantwortliche muss weitergehend tätig werden, um einen sicheren Datentransfer in Drittländer zu gewährleisten

Der EDÖB hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von personenbezogenen Daten ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland nach Art. 6 Abs. 2 lit. a DSG, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss. Die Anleitung ist hier abrufbar.

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaffachfrau an der Kaderschule Zürich ab. Im Anschluss an ihrem Diplom als Wirtschaftsfachfrau arbeitete Sangmo Agontsang als CEO Assistentin unter anderem für Freitag lab ag und CBM Schweiz. Sie verfügt des Weiteren über Erfahrung in der Organisation der Kaderschule Zürich, sowie über 3 Jahre Erfahrung in der Intellectual Property Abteilung der Freitag lab ag und hat dabei international mit einem Team von Anwälten die Rechte ihres Unternehmens verteidigt. Seit 2022 arbeitet sie als Paralegal bei der Balthasar Legal AG.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.