EDÖB: aktualisierter Leitfaden für die Datenübermittlung ins Ausland und Anerkennung revidierter Standardvertragsklauseln

Hintergrund: die Regelung des grenzüberschreitenden Datentransfers im DSG

Das geltende Schweizer Datenschutzgesetz (DSG) bestimmt, dass Personendaten nicht ins Ausland bekannt gegeben werden dürfen, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde (vgl. MLL News vom 5. Oktober 2020). Eine solche schwerwiegende Persönlichkeitsgefährdung droht namentlich, wenn im Exportland eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet (Art. 6 Abs. 1 DSG). Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) führt zu diesem Zweck eine öffentlich zugängliche Staatenliste, in der er sich zur Angemessenheit der Gesetzgebung einzelner Länder äussert (Art. 31 Abs. 1 lit. d DSG). Für die Angemessenheit der Gesetzgebung massgebend sind gemäss EDÖB (siehe auch EDÖB, Erläuterungen zur Datenübermittlung ins Ausland):

• Die Gesetze und deren praktische Umsetzung durch die Staaten sowie deren Beurteilung durch Lehre und Rechtsprechung;
• Datenschutzrechtliche Konventionen, Publikationen, Stellungnahmen und Beschlüsse in- und ausländischer Institutionen und Behörden zur Gleichwertigkeit oder Angemessenheit des von anderen Staaten gewährleisteten Datenschutzniveaus;
• Ob betroffene Personen bei Nichteinhaltung datenschutzrechtlicher Grundsätze ihre Interessen wahren können, insbesondere ob das Auskunftsrecht gewährleistet wird.

Falls in einem Land keine angemessene Gesetzgebung vorhanden ist, schliesst dies einen Datentransfer noch nicht gänzlich aus. Gemäss Art. 6 Abs. 2 lit. b DSG dürfen Daten in solche Länder übermittelt werden, wenn «hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten». Der EBÖB hat für diese Fälle den Leitfaden aktualisiert, welcher klären soll, mit welchen Garantien eine Datenübermittlung ins Ausland gleichwohl zulässig ist.

Prüfung der Zulässigkeit des Auslandsdatentransfers

Der Leitfaden besteht aus 10 Punkten, welche für einen Datenexporteur zu beachten sind. Diese Prüfschritte sind nachfolgend aufgeführt (vgl. Ablaufschema, EBÖB: Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG):

EDÖB, Ablaufschema Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug, Juni 2021

N01. Überprüfung des Datenschutzniveaus im Drittland: Der Datenexporteur ist dafür verantwortlich, dass im Zielland ein angemessenes Datenschutzniveau gewährleistet wird. Grundsätzlich kann von einem solchen ausgegangen werden, wenn Daten in ein EU/EWR Land transferiert werden und ein Weiterexport in ein Drittland ausgeschlossen ist. Zu beachten ist allerdings gemäss EDÖB, dass ein Auftragsdatenbearbeiter Gesetzen aus einem Drittstaat unterstehen kann, welches die Bekanntgabe der Daten an die Behörden des Drittlandes erzwingt. In diesem Fall seien die Voraussetzungen nach N03 ff. zu beachten.

N02. Angemessenheit: Es ist zu unterscheiden, ob ein Staat auf der EBÖB Staatenliste fungiert oder nicht.

• Übermittelt ein Datenexporteur Daten in einen Staat, welcher gemäss der Staatenliste über ein angemessenes Datenschutzniveau verfügt, ist er gemäss EDÖB in seinem guten Glauben geschützt. Grundsätzlich dürften in diesem Fall die Daten exportiert werden und die weiteren Prüfschritte entfallen. Der Datenexporteur müsse sich aber periodisch über die Angemessenheit informieren.
• Wird ein Staat nicht auf der Liste aufgeführt, heisst dies nicht automatisch, dass kein angemessener Schutz vorhanden ist. Es liegt gemäss EDÖB dann am Datenexporteur die nötigen Rechtsabklärungen vorzunehmen (vgl. N03 ff.). Letztlich obliege es aber den Schweizer Gerichten, über die Angemessenheit des ausländischen Datenschutzniveaus nach Art. 6 DSG zu entscheiden.

N03. Kein angemessener Schutz gemäss der Staatenliste des EDÖB oder Anzeichen, dass keine datenschutzkonforme Datenübertragung möglich ist: Kann nicht von einem angemessenen Datenschutzniveau ausgegangen werden, muss der Datenschutz mit hinreichenden Garantien, insbesondere durch einen Vertrag, sichergestellt werden (vgl. Art. 6 Abs. 2 lit. a DSG). Dies erfolgt standardgemäss mit Mustervertragsklauseln, sog. Standard Contractual Clauses (SCC; siehe dazu weiter unten). Der EDÖB weist hier auch darauf hin, dass unternehmensinterne Datenschutzvorschriften, sog. Binding Corporate Rules (BCR), kein Ersatz für den Abschluss von SCC sein können.

N04. Detaillierte Erfassung des Datentransfers: Der Datenexporteur, der Daten in einen Staat ohne angemessenes Datenschutzniveau transferieren will, hat den Datentransfer detailliert zu erfassen. Dabei ist unter anderem zu klären, ob die Daten einen Personenbezug aufweisen, welchen Zweck die Datenbekanntgabe erfüllt oder ob die Daten von Unternehmen bearbeitet werden, die Rechtsordnungen in Drittländern unterstehen. Als Beispiel für letzte Konstellation nennt der EDÖB US-amerikanische Cloudanbieter mit Servern in CH/EU/EWR.

N.05 Vier Garantien: Der Datenexporteur hat selbst abzuklären, ob die behördlichen Zugriffe im Drittland mit dem schweizerischen Datenschutzrecht bzw. Verfassungsgrundsätzen vereinbar sind. Er kann sich dabei nicht auf Aussagen des Datenimporteurs verlassen, sondern muss dies gemäss EDÖB durch Literatur, Rechtsprechung oder Rechtsgutachten abklären. Die folgenden vier Grundrechtsgarantien müssten gewährleistet sein:

• Legalitätsprinzip: Es brauche klare und bestimmte Rechtsgrundlagen bezüglich des Verfahrens und den materiellen Voraussetzungen für einen behördlichen Datenzugriff.
• Verhältnismässigkeit: Die Befugnisse der Behörden müssten geeignet und erforderlich sowie für die Betroffenen zumutbar sein, um die gesetzlichen Zugriffszwecke zu erfüllen.
• Rechtsmittel: Es brauche wirksame Rechtsbehelfe, welche die Durchsetzung der Privatsphäre gewährleisten.
• Rechtsweggarantie: Eingriffe in die Privatsphäre müssten einem unparteiischen Kontrollsystem unterliegen (z.B. Gericht). Einerseits müsse die vorgängige Genehmigung der Überwachungsmassnahme und anderseits die Funktionsweise des Überwachungssystems überprüft werden können.

Gibt es Anhaltspunkte, dass Personendaten in den USA bearbeitet werden, insbesondere bei der Nutzung von Clouddiensten, solle der Fragebogen im Anhang des Leitfadens beachtet werden.

N06. Analyse: Der Datentransfer ist sodann im Einzelfall und in Bezug auf die rechtlichen Umstände zu analysieren. Zu beachten seien insbesondere die geltenden Rechtsvorschriften im Zielland, die Gerichts- bzw. Behördenpraxis sowie die Rechtsprechung.

N07. Garantien gewährleistet: SCC: Kommt der Exporteur aufgrund der Analyse zum Schluss, dass die vier Garantien (vgl. N05) gewährleistet sind, kann gemäss EDÖB durch SCC ein angemessenes Datenschutzniveau erreicht werden. Bei der individuellen Umsetzung bleibe dann lediglich zu beachten, ob sich weitere Schutzmassnahmen aufdrängen (z.B. eine Stärkung der Betroffenenrechte oder die Vereinbarung von technischen Massnahmen).

N08. Garantien nicht gewährleistet: SCC und zwingend zusätzliche Massnahmen: Kommt der Exporteur aufgrund der Analyse (vgl. N06) zum Schluss, dass die vier Garantien (vgl. N05) nicht gewährleistet sind, muss er gemäss EDÖB vorab zusätzliche «Ersatzmassnahmen» prüfen. Vertragliche Massnahmen seien kaum möglich, da solche einen Behördenzugriff nicht verhindern können. Durch technische und organisatorische Massnahmen könnten jedoch fehlende Garantien kompensiert werden, z.B. durch die Verschlüsselung in einer Cloud, bei der in der Cloud keine Klardaten vorliegen. Der EDÖB gibt aber zu, dass der Einsatz derartiger Verschlüsselungstechniken «anspruchsvoll» ist, wenn die Dienstleistung des Cloud-Anbieters über die reine Datenhaltung hinausgeht. Können die fehlenden Garantien nicht kompensiert werden, muss die Datenbekanntgabe ausgesetzt werden (vgl. N10).

N09. Übertragung der Daten: Sowohl bei der Übertragung der Daten in Staaten mit als auch ohne angemessenes Datenschutzniveau sind die rechtlichen und sachlichen Voraussetzungen regelmässig zu überprüfen (Punkt N09 wäre daher besser mit «Übertragung der Daten und regelmässige Überprüfung der Voraussetzungen» betitelt worden).

N10. Aussetzung bzw. Beendigung der Datenbekanntgabe ins Ausland: Können die fehlenden Garantien (vgl. N05) nicht kompensiert werden (vgl. N07), ist der Datentransfer auszusetzen bzw. zu beenden.

Notwendige Anpassungen bei den SCC

Die meisten Schweizer Unternehmen stützen sich bei einer Bekanntgabe von Personendaten in Staaten ohne Angemessenheitsbeschluss auf von der EU-Kommission publizierte Standardvertragsklauseln (SCC). Dies deshalb, weil eine auf vertragliche Garantien gestützte Bekanntgabe ins Ausland dem EBÖB zwar grundsätzlich gemeldet werden muss, diese etwas bürokratische Meldepflicht aber entfällt, wenn durch den EDÖB anerkannte Vertragsklauseln eingesetzt werden und die SCC der EU-Kommission bisher von diesem anerkannt wurden. Unter dem revidierten, künftigen DSG entfällt ebenfalls die Meldepflicht bei einer auf Standarddatenschutzklauseln gestützten Bekanntgabe, wenn der EDÖB die Klauseln vorgängig genehmigt, ausgestellt oder anerkannt hat (Art. 16 Abs. 2 lit. d nDSG).

Als Folge des Schrems II Urteils des EuGH wurden die SCC durch die EU Kommission totalrevidiert (siehe dazu: MLL-News vom 20. Juni 2021). Der EDÖB hat nun am 27. August 2021 eine Stellungnahme veröffentlicht, mit dem er die revidierten Standarddatenschutzklauseln anerkannt hat. Die Anerkennung erfolgt mit dem Vorbehalt, dass sie im konkreten Anwendungsfall nötigenfalls angepasst bzw. ergänzt werden müssen, insbesondere das korrekte Modul vereinbart werden muss. Aus der Stellungnahme ergibt sich ferner Folgendes:

• Die alten Standardvertragsklauseln konnten nur noch für eine sehr kurze Übergangsfrist, nämlich bis zum 27. September 2021 gültig vereinbart werden. Die alten Standardvertragsklauseln sind also nach schweizerischem Recht keine genügende Garantie mehr.
• Es gilt eine Übergangslösung für Alt-Verträge, die sich auf die alten Standardvertragsklauseln stützen. Gestützt auf diese können noch bis zum Januar 2023 ohne Anpassung Daten bekanntgegeben werden.
• Datenbekanntgaben bei neu abgeschlossenen Verträgen müssen sich auf die revidierten Standardvertragsklauseln stützen.

Interessant sind die Ausführungen des EDÖB zum auf Datentransfers anwendbaren Recht. Die Übermittlung von Personendaten aus der Schweiz ins Ausland untersteht zwar dem DSG, aufgrund der extraterritorialen Wirkung der DSGVO können solche Datenübermittlungen jedoch zusätzlich der DSGVO unterstehen. Daher haben die Parteien jeweils zu klären, ob für ihre konkreten Verhältnisse ausschliesslich das DSG oder auch die DSGVO zur Anwendung gelangen. Unterstehen Datenübermittlungen sowohl dem DSG als auch der DSGVO, können die Parteien gemäss EDÖB zwischen zwei Optionen zur Anpassung der SCC wählen. Sie können entweder zwei separate vertragliche Regelungen vereinbaren (eine für die Datenübermittlung unter Geltung des DSG und eine für Datenübermittlungen unter Geltung der DSGVO). Alternativ können sie sämtliche Datenübermittlungen dem Standard der DSGVO unterstellen. Es sind jedoch in beiden Fällen spezifische Anpassungen an das schweizerische Recht nötig. Die Parteien müssen Folgendes sicherstellen:

• Referenzen auf die DSGVO müssen angepasst werden, sodass auf das DSG/nDSG verwiesen wird.
• Der EDÖB muss als zuständige Aufsichtsbehörde bezeichnet werden.
• Es muss vertraglich sichergestellt werden, dass der Wohnsitz-Gerichtstand von betroffenen Schweizer Personen nicht ausgeschlossen wird.
• Bis zum Inkrafttreten des nDSG müssen die Daten juristischer Personen auch geschützt sein.
• Die SCC selbst müssen schweizerischem Recht unterstellt werden. Da dieser Aspekt aber nur das Vertragsstatut beschlägt, ist dies gemäss EDÖB nicht zwingend.

Würdigung

Seit dem Schrems II Urteil bereitet die Übermittlung von Personendaten ins Ausland den Verantwortlichen viel Kopfzerbrechen. Es ist daher zu begrüssen, dass der EDÖB mit einem konzisen Prüfschema klarstellt, was er von dem DSG unterstehenden Unternehmen erwartet. Auch auf EU-Ebene haben die Aufsichtsbehörden ähnliche Leitlinien veröffentlicht (siehe dazu MLL-News vom 7. März 2021), wobei der EDÖB im Vergleich zu diesen mit seiner schematischen Herangehensweise sehr klare und konzise Anforderungen formuliert.

In der Sache unterscheidet sich die Ansicht des EDÖB nicht von der Ansicht seiner Kollegen in der EU: Wie der EDSA zeigt sich der EDÖB bezgl. eines Transfers in Länder ohne angemessenes Datenschutzniveau streng. Nötig wären in vielen Konstellationen zusätzliche Massnahmen in Form einer behördensicheren Verschlüsselung. Diese ist gemäss dem heutigen Stand der Technik nicht nur anspruchsvoll, sondern eben keine Lösung, wenn der Datenempfänger Zugriff auf die Daten im Klartext haben soll. Letzteres ist aber meistens der Fall, insbesondere bei Software-as-a-Service Cloud Computing oder bei der Zusammenarbeit mit einer Tochtergesellschaft mit Sitz in einem Staat ohne angemessenes Datenschutzniveau. Damit ist eigentlich nicht ersichtlich, wie in diesen Konstellationen ein rechtmässiger Datentransfer von Personendaten noch möglich sein kann.

Zu beachten ist ferner, dass die Staatenliste des EDÖB in naher Zukunft abgeschafft wird. Im totalrevidierten Datenschutzgesetz (vgl. dazu MLL-News vom 19. Oktober 2020) liegt es am Bundesrat, festzustellen, ob die Gesetzgebung eines Staates einen angemessenen Schutz gewährleistet (Art. 16 nDSG). Hierzu erlässt er – ähnlich wie die EU-Kommission unter der DSGVO – eine Positiv-Liste mit Staaten, die ein angemessenes Datenschutzniveau sicherstellen, in Form einer Verordnung (vgl. zur Verordnung: MLL-News vom 10. August 2021). Hinsichtlich der Prüfung von Garantien für den Datentransfer in Länder ohne angemessenen Datenschutz bleibt der EDÖB dafür zuständig, Standarddatenschutzklauseln anzuerkennen (Art. 16 Abs. 2 lit. d nDSG). Allerdings kann zukünftig der Bundesrat auch gesetzlich nicht vorgesehene Mechanismen, wie z.B. Selbstzertifizierungsmechanismen, als geeignete Garantien anerkennen (Art. 16 Abs. 3 nDSG). Deren Eignung für einen konkreten Datentransfer werden Unternehmen dann im Einzelfall ebenfalls anhand des vorliegenden Prüfschemas beurteilen müssen.

Wichtig ist schliesslich auch, dass der EDÖB sich zu den revidierten SCC geäussert hat. Er hat erwartungsgemäss klargestellt, dass die bisherigen SCC nicht mehr anerkannt werden und nur noch bis zum 1. Januar 2023 verwendet werden dürfen. Sollen die neuen SCC verwendet werden, gilt es insbesondere zu prüfen, ob die Datenübermittlung nur dem DSG oder auch der DSGVO unterstellt ist. Fällt eine Datenübermittlung unter schweizerisches und europäisches Recht, können entweder zwei separate Regelungen erlassen werden, oder alle Datenübermittlungen können dem Standard der DSGVO unterstellt werden. In beiden Fällen müssen jedoch im Einzelfall Anpassungen vorgenommen werden. Hierzu gehört, dass die Unternehmen auch das richtige Modul der SCC für ihren Transfer wählen. So oder so, müssen Schweizer Unternehmen die nötigen Anpassungen ihrer Vertragstemplates nun in die Wege leiten.

Weitere Informationen:

• MLL News vom 5. Oktober 2020: EDÖB: Stellungnahme zu Datentransfers in die USA und weitere Staaten ohne angemessenes Datenschutzniveau
• MLL-News vom 19. Oktober 2020: Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick
• MLL-News vom 7. März 2021: Datentransfer in Drittstaaten nach Schrems II: EDSA und EDPS veröffentlichen Joint Opinion zu revidierten Standardvertragsklauseln
• MLL-News vom 20. Juni 2021: Datentransfer in Drittstaaten nach Schrems II: EU-Kommission verabschiedet revidierte Standardvertragsklauseln
• MLL-News vom 10. August 2021 DSG-Revision: Bundesrat veröffentlicht Ausführungsvorschriften im Entwurf der VDSG
• EDÖB: Liste der Staaten, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet
• EBÖB: Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG)
• EBÖB: Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge
• Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates
• Bundesgesetz über den Datenschutz vom 19. Juni 1992