Hintergrund: Internationaler Datentransfer nach DSGVO
Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) ist am 24. Mai 2016 in Kraft getreten und seit dem 25. Mai 2018 anwendbar. Auch wenn die Schweiz kein Mitglied der EU oder des Europäischen Wirtschafsraumes (EWR) ist, findet die DSGVO unter anderem auf jene Schweizer Unternehmen Anwendung, die ihr Angebot erkennbar auf den EU-Endkundenmarkt ausrichten und in diesem Zusammenhang Personendaten von EU-Bürgern bearbeiten.
Ein Thema, dass seit dem Inkrafttreten der DSGVO vermehrt Beachtung findet, ist die Frage des internationalen Datenverkehrs. Da die DSGVO ein gemeinsames Datenschutzniveau für die Mitgliedsstaaten der EU und des EWR gewährleistet, unterliegt der Verkehr von Personendaten innerhalb dieser Mitgliedsstaaten keiner Beschränkung. Die Übermittlung von Personendaten in Drittländer ausserhalb der EU und des EWR ist demgegenüber nur unter den folgenden Voraussetzungen zulässig:
-
Möglichkeit 1: Angemessenheitsbeschluss: Die Europäische Kommission kann in einem Beschluss festlegen, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten bietet. Ein solcher Angemessenheitsbeschluss wurde unter anderem für die Schweiz, Kanada und Japan getroffen. Dies hat zur Folge, dass Personendaten ohne weitere Anforderungen an Unternehmen mit Sitz in diesen Ländern übermittelt werden können. Die Liste der Angemessenheitsbeschlüsse wird von der Europäischen Kommission in regelmässigen Abständen überarbeitet.
-
Möglichkeit 2: Geeignete Garantien: Komplizierter wird es dann, wenn Personendaten an Unternehmen übermittelt werden, die sich in einem Drittland ohne Angemessenheitsbeschluss befinden. In diesem Fall muss der Übermittler der Daten geeignete Garantien für den Schutz der Personendaten vorsehen, die den betroffenen Personen durchsetzbare Rechte garantieren. Die Möglichkeiten zu Sicherstellung geeigneter Garantien werden in Kapitel 5 der DSGVO ausführlich beschrieben. Von diesen Möglichkeiten bieten sich in der Praxis insbesondere die Standardvertragsklauseln («SCC») an, die von der Europäischen Kommission erlassen werden und von den Parteien ohne langwierige Vertragsverhandlungen übernommen werden können.
Verwendung von Standardvertragsklauseln (SCC) nach dem Schrems II-Urteil
In seinem wegweisenden Schrems II-Urteil im Juli 2020 (wir berichteten: Das Ende des EU-US Privacy Shield) hat der Europäische Gerichtshof klargestellt, dass Personendaten von betroffenen Personen weiterhin auf Basis von SCC in die USA und andere Drittstaaten ohne Angemessenheitsbeschluss übertragen werden können. Der EuGH hat allerdings betont, dass die SCC nur dann effektiven Schutz bieten, wenn die darin enthaltenen Bestimmungen tatsächlich eingehalten werden können. Entsprechend muss im Einzelfall geprüft werden, ob bei der Verwendung der SCC weitere Garantien notwendig sind, damit die beabsichtigte Datenübermittlung den datenschutzrechtlichen Anforderungen genügt. Wann genau dies der Fall ist, blieb nach dem Schrems II-Urteil über weite Strecken unklar.
Um die entstandene Rechtsunsicherheit zu entschärfen, hat der Europäische Datenschutzausschuss (EDSA) im November 2020 eine koordinierte Empfehlung herausgegeben (Leitlinien EDSA). Gemäss dieser Empfehlung soll vor der Übermittlung von Personendaten in Drittländer ohne Angemessenheitsbeschluss insbesondere geprüft werden, ob Hinweise dafür bestehen, dass die Rechtsordnung und Rechtspraxis des Drittlandes die Wirksamkeit der SCC im konkreten Fall beeinträchtigen könnten. Falls dies der Fall ist, sollten zusätzliche Massnahmen ermittelt werden, damit die strengen Vorgaben der DSGVO bei der Datenübermittlung eingehalten werden können. Die Empfehlung des EDSA beschreibt dabei in Annex 2 die folgenden Arten von Massnahmen:
-
Technische Massnahmen. Im Vordergrund steht hier die Verschlüsselung oder Pseudonymisierung der Personendaten vor der Übermittlung an den Empfänger, mit dem Ziel, den Zugriff auf Klardaten zu verhindern. Die Pseudonymisierung der Daten bietet sich insbesondere dann an, wenn eine Verschlüsselung aus technischen Gründen nicht möglich ist oder sie den Zweck der Datenbearbeitung vereiteln würde. In beiden Fällen sollte darauf geachtet werden, dass der Schlüssel zur Verschlüsselung oder Pseudonymisierung im Land des Übermittlers verbleibt.
-
Vertragliche Massnahmen: Entgegen der landläufigen Meinung dürfen die SCC ergänzt werden, wenn die Rechte der betroffenen Personen dadurch nicht eingeschränkt werden. Mögliche Varianten sind hier beispielsweise der Ausbau der Prüfrechte des Übermittlers oder die Aufnahme des Vorbehalts, dass ein Klardatenzugriff des Empfängers nur mit der Einwilligung der betroffenen Personen erfolgen darf. Sinnvoll ist auch die Aufnahme einer Verpflichtung des Empfängers, dem Übermittler unverzüglich mitzuteilen, wenn es ihm Änderungen der lokal geltenden Gesetze unmöglich machen sollten, seine vertraglichen Pflichten zu erfüllen.
-
Organisatorische Massnahmen: Organisatorische Massnahmen dienen in erster Linie der Erhöhung der Transparenz. Dazu gehört beispielsweise die Pflicht zur Dokumentation aller Zugriffe des Empfängers auf die Personendaten sowie zur Erstellung und Zurverfügungstellung regelmässiger Berichte and den Übermittler oder die betroffenen Personen. Empfänger in den USA oder anderen Drittländer können zudem dazu verpflichtet werden, Informationen über behördliche Auskunftsanfragen in der Vergangenheit zur Verfügung stellen. Mithilfe dieser Informationen können der Übermittler und die betroffenen Personen das Risiko abschätzen, dass die übermittelten Daten im Drittland tatsächlich einem staatlichen Zugriff ausgesetzt sind.
Neue Standardvertragsklauseln (SCC) seit Juni 2021
Am 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln für den internationalen Datentransfer veröffentlicht, die eine Reihe von Änderungen vorsehen. Die neuen SCC wurden bereits seit langer Zeit erwartet, da die jetzigen SCC bereits über zehn Jahre alt sind und weder die Voraussetzungen der DSGVO noch das Schrems II-Urteil berücksichtigen konnten. Die wichtigsten Änderungen werden hier kurz zusammengefasst:
-
Modularer Aufbau: Die neuen SCCs sind modular aufgebaut, sodass mehr Gestaltungsoptionen zur Verfügung stehen. Durch die Verwendung von insgesamt vier verschiedenen Modulen decken die SCC neu sämtliche möglichen Übermittlungen von Personendaten zwischen Verantwortlichen und Auftragsverarbeitern ab. Zudem sieht die optionale Ziffer 7 vor, dass jederzeit neue Beteiligte als Partei den SCCs beitreten können.
-
Pflicht zur Datentransfer-Folgeabschätzung: Die neuen SCC enthalten eine Pflicht zur Durchführung einer Risikobewertung, die vor der Übermittlung von Personendaten an Drittländer ohne Angemessenheitsbeschluss durchgeführt werden muss. Der Übermittler muss sich also davon überzeugen, dass der Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen. Damit wird sowohl dem Schrems II-Urteil als auch der Empfehlung des EDSA Rechnung getragen.
-
Pflicht zur Information bei Behördenzugriff: Die neuen SCC enthalten eine Pflicht des Empfängers der Personendaten, den Übermittler sowie die betroffenen Personen im Falle eines Behördenzugriffs zu informieren. Wenn es dem Empfänger aufgrund rechtlicher Bestimmungen nicht erlaubt ist, den Übermittler oder die betroffene Person zu benachrichtigen, so muss sich der Empfänger nach besten Kräften um eine Aufhebung des Verbots bemühen, die Rechtmässigkeit der behördlichen Zugriffsversuche überprüfen und gegebenenfalls rechtliche Schritte dagegen unternehmen.
Die neuen SCC stellen dank der beschriebenen Erweiterungen ohne Zweifel einen Fortschritt dar. Unternehmen, die auf Grundlage der neuen SCC Personendaten in Drittländer ohne Angemessenheitsbeschluss übermitteln möchten, werden allerdings weiterhin nicht darum herumkommen, vor der Übermittlungen zu prüfen, welchen lokalen Gesetzen der Empfänger unterliegt, ob diese Gesetze die Einhaltung der SCC beeinträchtigen, und welche zusätzlichen Massnahmen im Einzelfall notwendig sind, um die Vorgaben der DSGVO bei der Datenübermittlung einzuhalten. Die Datentransfer-Folgenabschätzung muss vom Übermittler zudem ausreichend dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden.
Für Übermittler von Personendaten, die zurzeit die alten SCC verwenden, ist eine Übergangsfrist von 18 Monaten vorgesehen. Wir empfehlen daher, bestehende Verträge so bald wie möglich zu prüfen und die für die Aktualisierung erforderlichen Schritte in die Wege zu leiten. Bei Fragen zur Nutzung der neuen SCC sowie zur Übermittlung von Personendaten in Drittländer generell stehen Ihnen unsere Spezialisten sehr gerne zur Verfügung.
