Ihre Kontakte
Nach dem Schrems II Urteil ist im Anwendungsbereich der DSGVO umstritten, welche Massnahmen ergriffen werden können, um Personendaten weiterhin legal in Staaten ohne Angemessenheitsbeschluss der EU-Kommission und insbesondere die USA zu übermitteln. Die EU-Kommission hat nun die Standardvertragsklauseln revidiert, die bei solchen Transfers als Garantie vereinbart werden können. Die neuen SCC müssen ab September 2021 für neue Verträge vereinbart werden, für Altverträge gilt eine Übergangsfrist bis Ende 2022. Die revidierten SCC enthalten zahlreiche Pflichten des Datenimporteurs. Mit Blick auf die Überwachungskompetenzen ausländischer Behörden, der Kernproblematik des Schrems II Entscheids, müssen die Parteien nicht nur umfangreiche Informations- und Dokumentationspflichten vereinbaren, sondern der Datenimporteur muss sich grundsätzlich verpflichten, Offenlegungsanfragen ausländischer Behörden anzufechten. Wie die Aufsichtsbehörden in der EU bereits klargestellt haben, können Unternehmen die revidierten SCC jedoch nicht einfach ohne nähere Prüfung ihrer Eignung einsetzen. Bevor die SCC vereinbart werden, muss eine sorgfältige Eignungsprüfung (Transfer Impact Assessment) stattfinden und diese dokumentiert werden. Da die revidierten SCC zudem einem modularen Ansatz folgen, bei dem das richtige Modul für den jeweiligen Transfer vereinbart werden muss, und weitere, transferspezifische Anpassungen erfordern, stellt der rechtskonforme Einsatz von SCC hohe Anforderungen an Unternehmen. Offen ist zum jetzigen Zeitpunkt noch, ob die SCC weiterhin als angemessene Garantie für Datenbekanntgaben ins Ausland unter dem schweizerischem DSG gelten. Es ist aber wahrscheinlich, dass der EDÖB die revidierten SCC als angemessene Garantie qualifizieren wird.
Rechtsunsicherheit nach dem Schrems II Urteil des EuGH
Mit dem Schrems II Urteil (C-311/18) des EuGH wurde der EU-US Privacy Shield aufgehoben. Dies führte zu Rechtsunsicherheit im Zusammenhang mit der Übermittlung von Personendaten an Empfänger in Staaten ohne angemessenes Datenschutzniveau im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO). Mit dem Schrems II Entscheid stellte der EuGH klar, dass der Einsatz von Standardvertragsklauseln (Standard Contractual Clauses; nachfolgend auch «SCC») für solche Datentransfers eine zulässige Alternative sei, aber die SCC einer Einzelfallprüfung ihrer Eignung und gegebenenfalls einer Ergänzung um zusätzliche Garantien bedürfen. Wann genau zusätzliche Garantien zu vereinbaren sind und welchen Inhalt diese Garantien haben sollen, hat der EuGH nicht klargestellt (siehe dazu MLL-News vom 5. Oktober 2020).
Die EU-Kommission veröffentlichte als Reaktion auf das Schrems II Urteil im November 2020 einen Entwurf für revidierte SCC. In der gesetzlich vorgesehenen Konsultation wurden gewisse Aspekte der revidierten SCC vom Europäische Datenschutzausschuss (EDSA) und dem European Data Protection Supervisor (EDPS) kritisch gewürdigt (siehe MLL-News vom 7. März 2021). Nach Abschluss der Konsultationen veröffentlichte die EU-Kommission am 4. Juni 2021 nun den Durchführungsbeschluss über die finalen, revidierten SCC.
Anwendungsbereiche der revidierten SCC
Die revidierten SCC können und – gemäss Wortlaut – dürfen nur dann eingesetzt werden, wenn der Datenexporteur der DSGVO untersteht und er Personendaten an einen Datenimporteur übermitteln möchte, auf den die DSGVO nicht anwendbar ist (siehe Durchführungsbeschluss, Erwgr. 7). Diese Ausführungen der EU-Kommission sind heftig umstritten. Der Erwägungsgrund würde Folgendes bedeuten: Sofern der Datenimporteur in den USA aufgrund von Art. 3 Abs. 2 DSGVO für die betreffende Datenverarbeitung in den räumlichen Anwendungsbereich der DSGVO fällt, können und dürfen die revidierten SCC nicht angewendet werden. Es stellt sich dann die Frage, wie hier die Schrems II-konforme Datenübermittlung sichergestellt werden soll.
Man könnte sich – wie teilweise geschehen – auf den Standpunkt stellen, dass eine Datenübermittlung zwischen einem Exporteur und einem Importeur, deren Datenverarbeitungen beide in den räumlichen Anwendungsbereich der DSGVO fallen, keine internationale Datenübermittlung gemäss DSGVO darstellt. Diese Auffassung der EU-Kommission wäre aber keine Hilfe für die Unternehmen. Auch wenn ein Datenimporteur in den USA für die betreffende Datenverarbeitung der DSGVO untersteht und diese einhält, ist er immer noch in den USA ansässig. Er ist weiterhin von den vom EuGH beanstandeten unverhältnismässigen Überwachungsmassnahmen betroffen und die Datenübermittlung an ihn wäre nach der Schrems II-Rechtsprechung weiterhin problematisch. Dürfen die Datenexporteure gemäss Erwägungsgrund 7 die revidierten SCC für diese Datenübermittlung nicht einsetzen, helfen sie in dieser wichtigen Konstellation gerade nicht.
Angesichts dieses fragwürdigen und kaum gewollten Resultats wird aber auch auf die Gesetzgebungsgeschichte verwiesen. Die problematische Formulierung in Erwägungsgrund 7 wurde nämlich erst nach dem Konsultationsverfahren eingefügt. In dieser Konsultation hatten EDPA und EDPS in ihrer Joint Opinion Folgendes festgehalten:
«the EDPB and the EDPS understand that the Draft Decision does not cover transfers to a data importer not in the EEA but subject to the GDPR for a given processing under Article 3(2) GDPR.» (p. 9)
Der EU-Kommission war in diesem Zusammenhang von EDSA und EDPB empfohlen worden, klarzustellen, dass die SCC keinen Einfluss auf den extraterritorialen Anwendungsbereich der DSGVO haben. Denn dieser extraterritoriale Anwendungsbereich müsse für jede Datenbearbeitung einzeln beurteilt werden. Es ist gut möglich, dass Erwägungsgrund 7 nur diese (missglückte) Klarstellung ist. Dies würde bedeuten, dass die SCC auch dann eingesetzt werden dürfen, wenn die DSGVO direkt auf gewisse Verarbeitungstätigkeiten des Datenimporteurs anwendbar ist, dies ihn in diesen Konstellationen und für diese Verarbeitungen aber nicht von den aus der direkten Anwendung der DSGVO folgenden Pflichten befreit.
Aufbau der revidierten SCC
Die SCC bestehen aus einem allgemeinen Teil, spezifischen Modulen sowie Anhängen. Die Parteien können die SCC in einen umfangreicheren Vertrag aufnehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen. Letztere dürfen aber weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln der SCC stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden (siehe SCC, Klausel 2(a)). Die EU-Kommission bringt keine Beispiele dafür, was für Klauseln widersprüchlich wären. Sicher widersprüchlich wäre z.B. eine Klausel, welche die Haftung gegenüber den betroffenen Personen einschränken würde. Widersprüchlich wäre unseres Erachtens auch eine Klausel, welche die Erbringung von Unterstützungsleistungen durch den Datenimporteur gegenüber dem Datenexporteur (z.B. bei Anfragen von betroffenen Personen) von erheblichen Vergütungen abhängig machen würde.
Selbst wenn sie ohne Ergänzung eingesetzt werden sollen, müssen die Parteien die SCC immer noch auf den einzelnen Datentransfer anpassen.
- Für einen rechtskonformen Einsatz muss bereits eine Anpassung des allgemeinen Teils auf den konkreten Transfer erfolgen:
- Insbesondere müssen die Parteien eine Rechtswahl treffen, d.h. entscheiden, welches Recht eines EU-Mitgliedsstaates für die Klauseln anwendbar sein soll. Die betroffenen Personen sollen sich direkt auf gewisse Klauseln berufen können (siehe SCC, Klausel 3) und daher muss dieses nationale Recht eine Drittbegünstigung ermöglichen.
- Aufgrund des modularen Aufbaus müssen die Parteien vor dem Einsatz der SCC auch prüfen und entscheiden, welches Modul ihren datenschutzrechtlichen Rollen gerecht wird (siehe dazu auch: MLL-News vom 23. Dezember 2020). Die Module differenzieren nach Transferszenario:
-
- Modul 1: Controller-Controller
- Modul 2: Controller-Processor (dieses Modul beinhaltet gemäss Kommission auch alle notwendigen Regelungen nach Art. 28 Abs. 3 DSGVO, weshalb kein separater Auftragsverarbeitungsvertrag mehr notwendig wäre)
- Modul 3: Processor-Processor (neu: betrifft Transfer zwischen Auftragsverarbeiter und Unterauftragsverarbeiter)
- Modul 4: Processor-Controller (neu)
- Bemerkenswert ist auch, dass die Parteien bei den Modulen 1, 2 und 3 die zuständige Aufsichtsbehörde angeben müssen. Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit dieser Aufsichtsbehörde zu unterwerfen und mit dieser zusammenzuarbeiten, um die Einhaltung der SCC sicherzustellen. Insbesondere wird er Anfragen beantworten, sich Prüfungen unterziehen und den von der Aufsichtsbehörde getroffenen Massnahmen nachkommen (SCC, Klausel 13).
- In den Anhängen müssen die Parteien sodann weitere Ergänzungen vornehmen, wobei viele dieser Ergänzungen schon unter den alten SCC erforderlich waren:
-
- In Anhang I müssen sie den Datentransfer im Detail beschreiben (inkl. Kategorien betroffener Personen, Kategorien übermittelten personenbezogenen Daten sowie Art, Zweck, Häufigkeit und Dauer der Übermittlung). Aufgrund der Erwägungsgründe und auch der Anmerkungen in Anhang I dürfte jedoch bei den revidierten SCC ein höherer Detaillierungsgrad verlangt sein.
- Anhang II der SCCs sollte vom Datenimporteur ausgefüllt werden und eine Beschreibung der technischen und organisatorischen Massnahmen enthalten, die zur Gewährleistung eines angemessenen Sicherheitsniveaus für die übermittelten Daten getroffen wurden. Die SCC schreiben selbst also weiterhin keine technischen Massnahmen vor, wie z.B. eine behördensichere Verschlüsselung. Gemäss der Erläuterung der EU-Kommission müssen die getroffenen Massnahmen durch die Parteien aber konkret und nicht nur allgemein beschrieben werden. In den Erwägungen und auch in Anhang II selbst sind verschiedene Massnahmen beispielhaft aufgeführt.
- Anhang III enthält die Liste der Unterauftragsverarbeiter. Diese Liste ist aber nur erforderlich, wenn sich die Parteien gemäss Klausel 9 für eine vorherige gesonderte Genehmigung der gelisteten Unterauftragsverarbeiter entschieden haben. Die andere Option betreffend Beizug von Unterauftragsverarbeitern ist, dass der Datenexporteur eine grundsätzliche Genehmigung für den Einsatz von Unterauftragsverarbeitern erteilt und dann über neue Unterauftragsverarbeiter notifiziert wird (Push-Notifikation). Hierbei ist dem Datenexporteur ausreichend Zeit einzuräumen, um vor der Beauftragung des Unterauftragsverarbeiters Einwände erheben zu können.
Darüber hinaus enthalten die revidierten SCC zahlreiche weitere Pflichten, die man grösstenteils als Umsetzung der Grundsätze der Verarbeitung von Personendaten nach Art. 5 DSGVO verstehen kann.
Erwähnenswert ist auch die «Koppelungsklausel» 7 (Docking-Clause). Diese hält fest, dass eine Einrichtung, d.h. primär ein Unternehmen, welche (noch) nicht Partei der SCC ist, mit Zustimmung der bisherigen Parteien jederzeit entweder als Exporteur oder Importeur den SCC beitreten kann. Sie muss hierzu gewisse Anlagen ausfüllen und Anhang I.A. unterzeichnen. Unter den geltenden SCC war unklar, ob ein solcher Beitritt, z.B. durch andere Gruppengesellschaften, zulässig ist – in der Praxis wurde dies bereits unter den bestehenden SCC durchaus getan. Trotz dieser Regelung werden in der Praxis auch zukünftig Beitrittsregelungen erstellt werden müssen – als zulässige Ergänzung der SCC.
Neu ist auch, dass die revidierten SCC nicht nur Haftungsklauseln im Verhältnis der Parteien zu den betroffenen Personen enthalten, sondern auch im Verhältnis der Parteien selbst. Aufgrund der Erwägungen und des Wortlautes ist unklar, ob die Haftungsklauseln für das Verhältnis zwischen den Parteien dispositiver Natur sind.
Regeln für behördliche Zugriffe im Empfängerstaat
Kernstück der Revision der SCC ist Abschnitt III, durch den die revidierten SCC mit den Anforderungen der Schrems II Rechtsprechung des EuGH in Einklang gebracht werden sollen.
Die dem Schrems II Entscheid zugrundeliegende Kernproblematik bei grenzüberschreitenden Datentransfers in die USA war, dass die Gesetzgebung der USA aus Sicht des europäischen Grundrechtsschutzes unverhältnismässige Überwachungsprogramme ermöglicht. Da die Rechtsbehelfe und Mechanismen des EU-US Privacy Shield dies nicht kompensieren konnten, wurde dieser aufgehoben. Es stellt sich daher die Frage, wie die Standardvertragsklauseln den vom EuGH geforderten, gleichwertigen Grundrechtsschutz sicherstellen sollen.
Datenimporteur und -exporteur müssen hierzu im Wesentlichen folgende modulübergreifende Regeln zum lokalen Recht des Empfängers und an ihn gerichteten Behördenanfragen vereinbaren:
- Allgemeine Prüf- und Informationspflichten: Beide Parteien erklären, dass sie davon ausgehen, dass die Gesetzgebung des Empfängerstaates dem Einhalten der SCC nicht entgegensteht und sie die Rechtsordnung entsprechend geprüft haben. Sie garantieren dabei die besonderen Umstände der Übermittlung, die für diese Übermittlung relevanten Rechtsvorschriften des Bestimmungslandes sowie vertragliche, technische oder organisatorische Garantien, die zur Ergänzung der SCC ergriffen wurden, berücksichtigt zu haben. In diesem Zusammenhang sichert der Datenimporteur zu, dass er sich bemüht hat, dem Exporteur für diese Prüfung ausreichende Informationen bereit zu stellen. Zudem wird er den Exporteur darüber informieren, wenn Gesetze auf ihn anwendbar werden, die nicht mehr dem Angemessenheitsstandard entsprechen oder wenn er seine Pflichten nicht mehr einhalten kann. Die Parteien dürfen es jedoch nicht einfach bei Zusicherungen belassen. Die revidierten SCC verlangen eine umfassende und dokumentierte Eignungsprüfung (siehe weiter unten). EDSA und EDPS hatten vorgeschlagen, einen Muster-Annex in die SCC einzufügen, in dem das Ergebnis der Prüfung dokumentiert werden kann (siehe MLL-News vom 7. März 2021). Die Kommission hat diese Empfehlung zwar nicht umgesetzt, dies hindert die Parteien aber nicht daran, das Prüfergebnis dennoch in einem Annex zu dokumentieren. Gleich wie die Dokumentation erfolgt, sie muss auf Verlangen den Aufsichtsbehörden herausgegeben werden. Bei negativer Eignungsprüfung darf der Datentransfer nicht stattfinden.
- Informations- und Dokumentationspflicht bei behördlichem Zugriff: Der Datenimporteur wird den Datenexporteur und, wo möglich, die betroffene Person, informieren, wenn er eine rechtlich verpflichtende Aufforderung zur Offenlegung der unter den SCC transferierten Daten erhält. Gleiches gilt, wenn ihm bekannt wird, dass Behörden sich direkten Zugang zu den unter den SCC transferierten Daten verschafft haben. Ist ihm diese Notifikation verboten worden, soll er sich nach besten Kräften bemühen, die Aufhebung dieses Verbots zu erwirken. Der Datenimporteur soll, soweit zulässig, regelmässig über diese Zugriffe informieren, Statistiken hierüber führen und auf Verlangen der zuständigen Aufsichtsbehörde herausgeben.
- Anfechtungspflicht: Der Datenimporteuer verpflichtet sich, die Rechtmässigkeit einer behördlichen Aufforderung zur Offenlegung von transferierten Personendaten nach den Rechtsvorschriften des Bestimmungslandes, geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie zu überprüfen. Verstösst die Offenlegungsaufforderung hiergegen, sind vom Datenimporteur mögliche Rechtsmittel einzulegen und einstweilige Massnahmen zu ergreifen. Zudem verpflichtet sich der Datenimporteur, so wenig Informationen wie rechtlich zulässig der ausländischen Behörde offenzulegen. Dieses Anfechtungsrecht ist als klagbares Recht zugunsten der betroffenen Personen ausgestaltet (siehe SCC, Klausel 3). In MLL-News vom 23. Dezember 2020 haben wir uns kritisch dazu geäussert, ob diese Anfechtungspflicht mit Blick auf das Schrems II Urteil und die dort aufgeführten Grundrechtsüberlegungen ausreichend ist, um die Rechte der betroffenen Personen effektiv sicherzustellen – und damit vor einem allfälligen Schrems III-Urteil standzuhalten. Wir bleiben bei dieser kritischen Auffassung. Positiv ist zwar, dass die Anfechtungspflicht durch die betroffene Person eingeklagt werden kann. Die Reichweite der Anfechtungspflicht ist jedoch beschränkt. Eine Anfechtung muss nur erfolgen, wenn die behördliche Aufforderung nach den Rechtsvorschriften des Bestimmungslandes (z.B. USA, China, Russland, etc.), geltenden völkerrechtlichen Verpflichtungen – hier können nur die geltenden völkerrechtlichen Verpflichtungen des Bestimmungslandes gemeint sein –, oder nach den Grundsätzen der Völkercourtoisie unrechtmässig ist. Bei Schrems II war die entscheidende Frage jedoch, ob eine behördliche Massnahme aus Sicht des europäischen Grundrechtsschutzes verhältnismässig ist. Auf diese Unzulänglichkeit der Anfechtungspflicht haben EDSA und EDPS bereits im Konsultationsverfahren explizit hingewiesen (siehe MLL-News vom 7. März 2021). Zudem kann man bei Datenimporteuren in den USA vielleicht noch davon ausgehen, dass sie Rechtsmittel gegen behördliche Verfügungen ergreifen. Es ist jedoch sehr unwahrscheinlich, dass Unternehmen in China und Russland sich wegen betroffenen Personen in der EU gegen die dortigen Behörden wenden – sofern der Behördenzugriff nach dem dortigen Recht und den entsprechenden völkerrechtlichen Verpflichtungen überhaupt unrechtmässig wäre.
Eignungsprüfung der SCC im Einzelfall: Data Transfer Impact Assessment
Wie EDSA und EDPS bereits in der Konsultation klargestellt haben, sollen Unternehmen die revidierten SCC nicht einfach ohne nähere Prüfung ihrer Eignung einsetzen. Die Aufsichtsbehörden betonen dabei, dass diese Eignungsprüfung anhand objektiver Faktoren zu erfolgen hat (siehe dazu MLL-News vom 7. März 2021). Mit Blick auf den letzten Punkt kritisierten die beiden Aufsichtsbehörden nämlich, dass die EU-Kommission in die ursprünglichen SCC Formulierungen eingebaut hatte, welche die Berücksichtigung von subjektiven Faktoren ermöglichte, wie z.B. in der Vergangenheit an den Datenimporteur gerichtete behördliche Anfragen.
Der Kritik des EDSA/EDPS wurde Rechnung getragen. Es wurde klargestellt, dass letztlich objektive Faktoren massgebend sind (Klausel 14(b)). Die Kommission hat zwar durchaus einen risikobasierten Ansatz gewählt, diesen jedoch eingeschränkt, um eine Balance mit den Ausführungen des EDSA/EDPS zu finden. Bei der Prüfung zu berücksichtigen sind die besonderen Umstände der Übermittlung, die für diese Übermittlung relevanten Rechtsvorschriften des Bestimmungslandes sowie vertragliche, technische oder organisatorische Garantien, die zur Ergänzung der SCC ergriffen wurden. Betreffend die Auswirkungen der Rechtsvorschriften im Bestimmungsland auf die Einhaltung der SCC durch den Datenimporteur können gemäss Kommission im Rahmen der Gesamtbeurteilung verschiedene Aspekte berücksichtigt werden. Dies sind u.a. zuverlässige Informationen über die Anwendung der Rechtsvorschriften in der Praxis (z.B. Rechtsprechung und Berichte unabhängiger Aufsichtsgremien), das Vorliegen oder Nichtvorliegen von behördlichen Anträgen innerhalb desselben Sektors und, unter strengen Voraussetzungen, die dokumentierte praktische Erfahrung des Exporteurs oder Importeurs (Durchführungsbeschluss, Erwgr. 20). Entgegen anderslautender Meinungen können daher die praktischen Erfahrungen nicht als «leichter Ausweg» aus dem mit Schrems II geschaffenen Dilemma benutzt werden. Die Kommission hält in Fussnote 12 zu Klausel 14(b)(ii) nochmals ausdrücklich fest, dass:
«(…) Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.»
Aufgrund von Erwägungsgrund 20 ist davon auszugehen, dass allein eine positive praktische Erfahrung kaum ein durchschlagendes Argument sein dürfte, wenn eine Datenschutzbehörde – diese sind letztlich entscheidend – einen Datentransfer genauer unter die Lupe nimmt.
Nach Klausel 14(e) und (f) muss der Datenimporteur den Datenexporteur informieren, falls sich im Bestimmungsland Änderungen bei der Gesetzgebung oder Behördenpraxis ergeben, welche die Einhaltung der SCC negativ beeinflussen. Der Datenexporteur ist nach einer solchen Benachrichtigung – oder wenn er über andere Kanäle Kenntnisse von solchen Beeinträchtigungen der Garantien der SCC erhält – verpflichtet, zusätzliche technische oder organisatorische Massnahmen zu treffen. Falls diese nicht ausreichen sollten, ist er verpflichtet, die Übermittlungen auszusetzen oder gar zu beenden. In diesem Fall darf er die SCC kündigen.
Inkrafttreten und Übergangszeit
Gemäss Durchführungsbeschluss der EU-Kommission treten die revidierten SCC 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft, d.h. am 27. Juni 2021. Nach Ablauf einer dreimonatigen Übergangsfrist, d.h. ab dem 27. September 2021, werden die aktuellen SCC aufgehoben. Für neue Verträge sind ab diesem Zeitpunkt die neuen SCC zu verwenden. Am 27. September 2021 bereits bestehende Verträge mit den alten SCC müssen erst nach einer Übergangsfrist von 15 Monaten, d.h. bis zum 27. Dezember 2022, angepasst werden. Es ist empfehlenswert, bestehende Verträge frühzeitig zu «migrieren».
Revidierte SCC und die Schweiz
Der EDÖB hat bis anhin die aktuellen SCC als angemessene Garantien im Sinne von Art. 6 Abs. 2 DSG qualifiziert (siehe dazu MLL-News vom 5. Oktober 2020). Eine Stellungnahme des EDÖB zu den revidierten SCC ist bis anhin noch nicht erfolgt. Der EDÖB wird sich jedoch dazu äussern und es ist davon auszugehen, dass er auch die revidierten SCC als angemessene Garantie unter dem alten und neuen DSG ansehen wird. Wichtig wäre jedoch auch, dass sich der EDÖB dazu äussert, inwiefern die revidierten SCC für den Gebrauch unter dem DSG anzupassen sind. Bereits bei den alten SCC waren leichte Anpassungen notwendig, um sie DSG-konform verwenden zu können.
Zudem ist immer noch offen, ob die EU-Kommission den Angemessenheitsbeschluss der Schweiz verlängert. Aufgrund dieses Angemessenheitsbeschlusses müssen der DSGVO unterstehende Unternehmen bis anhin mit Schweizer Datenimporteuren keine SCC vereinbaren. Sollte die EU-Kommission die Angemessenheit des schweizerischen Datenschutzrechts nicht mehr bestätigen, müssen EU/EWR-Exporteure mit CH-Importeuren in vielen Fällen SCC vereinbaren. Dies wäre ein beachtlicher administrativer Mehraufwand.
Einschätzung
Der Einsatz der revidierten SCC stellt hohe Anforderungen an Datenexporteure, die der DSGVO unterstehen. Bereits die Auswahl des richtigen Moduls sowie die transferspezifischen Anpassungen der SCC sind essenziel. Die in der Praxis immer wieder anzutreffenden, nicht auf den Einzelfall angepassten SCC, erfüllen diese Vorgaben nicht mehr. Klargestellt wurde, dass die Prüfung, ob sich die SCC für einen konkreten Transfer eignen, vor allem anhand objektiver Faktoren erfolgen und dies in einem Data Transfer Impact Assessment dokumentiert werden muss. Unternehmen, die diesen Aufwand nicht auf sich nehmen, verletzen in den Augen der Aufsichtsbehörden ihre Sorgfaltspflichten, womit sie Sanktionen riskieren.
Wenn in einem Land wie den USA, Russland oder China nicht nur ein theoretisches Risiko besteht, dass Behörden in unverhältnismässiger Weise auf die übermittelten Daten zugreifen und dieser Zugriff durch technische oder organisatorische Massnahmen nicht ausreichend verhindert werden kann, können allenfalls auch die revidierten SCC aus Sicht der Datenschutzbehörden solche Transfers nicht legitimieren.
Im Ergebnis adressieren die revidierten SCC zwar die Erwägungen des EuGH im Schrems II-Urteil, können aber wohl leider das Dilemma, in dem sich Datenexporteure befinden, nicht für alle Drittländer vollständig beseitigen.
Handlungsbedarf für Unternehmen
Die Revision der SCC schafft Handlungsbedarf bei Datenimporteuren und Datenexporteuren gleichermassen. Im Einzelnen ist Unternehmen folgendes Vorgehen zu empfehlen:
- Bestandesaufnahme über Datenexporte: Datenexporteure, die der DSGVO unterstehen müssen evaluieren, in welche Drittstaaten Personendaten transferiert werden.
- Triage nach Rechtsgrundlagen
- Angemessenheitsbeschluss für Exportland: Falls die EU-Kommission dem Exportland ein angemessenes Datenschutzniveau bescheinigt hat, müssen die revidierten SCC nicht vereinbart werden.
- Kein Angemessenheitsbeschluss für Exportland: Bei Ländern ohne angemessenes Datenschutzniveau sind weitere Abklärungen notwendig:
-
- Welche Garantien wurden bis anhin für diese Datentransfers implementiert?
- Reichen diese Garantien gemäss den Anforderungen der Schrems II Rechtsprechung weiterhin aus?
Falls diese Garantien weiterhin ausreichend sind, ist nichts zu unternehmen. Falls diese nicht mehr ausreichend sind und keine anderen Garantien als die Vereinbarung der SCC in Frage kommen, sollte bereits mit der Implementierung der neuen SCC begonnen werden.
- Proaktives Handeln bei Datentransfers gestützt auf alte SCC: Sofern sich die Übermittlung auf die bestehenden SCC stützte, sollte der Datenexporteur den Datenimporteur kontaktieren und darauf hinweisen, dass die bisherigen SCC auslaufen und bis spätestens zum 27. Dezember 2022 eine Umstellung auf die revidierten SCC oder eine andere geeignete Garantie erfolgen muss.
- Vereinbarung neuer SCC: Die Parteien sollten dann prüfen, ob die revidierten SCC für den fraglichen Transfer ein geeignetes Instrument darstellen. Hierzu sollten sie zunächst ein Data Transfer Impact Assessment durchführen, um sicherzustellen, dass die revidierten SCC den geplanten Datentransfer – allenfalls mit zusätzlichen organisatorischen und technischen Massnahmen – legitimieren können. Sobald diese Frage geklärt ist, müssen die richtigen Module gewählt und allenfalls notwendige Anpassungen vorgenommen werden.
- Weitere Vorbereitung durch Datenimporteure: Datenimportierende Unternehmen mit Sitz in Staaten ohne Angemessenheitsbeschluss oder Tochtergesellschaften in diesen Staaten sollten sich schon jetzt auf entsprechende Anfragen durch Datenexporteure vorbereiten. Sie sollten ihre datenschutzrechtlichen Rollen in ihren Geschäftsmodellen abklären sowie sicherstellen, dass sie die Pflichten unter den revidierten SCC einhalten können. Zudem sollten sie prüfen, ob sie weitere technische und organisatorische Massnahmen zum Schutz von Personendaten ergreifen können.
- Weitere Vorbereitung durch Datenexporteure: 1. Anpassung des Datentransfers: Datenexportierende Unternehmen sollten sich bei ihren Datentransfers fragen, ob beim Zweck des Datentransfers in Staaten ohne Angemessenheitsbeschluss, bei der Art der übermittelten Daten, der Dauer der Übermittlung, oder anderen Parametern Anpassungen möglich sind, welche die datenschutzrechtlichen Risiken minimieren. 2. Datentransfer in andere Staaten: Prüfenswert ist ebenfalls, ob eine Datenverarbeitung nicht auch in einen EWR Staat oder ein Land mit Angemessenheitsbeschluss verlagert werden kann.
- Dokumentation: All diese Abklärungen sowie die ergriffenen Massnahmen sind sowohl durch Exporteure und Importeure zu dokumentieren.
Weitere Informationen:
- Durchführungsbeschluss der Kommission (EU): Datenschutz – Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Nicht-EU-Länder
- Urteil des EuGH vom 16. Juli 2020 (C‑311/18)
- Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung
- MLL-News vom 5. Oktober 2020: EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln – Schrems II
- MLL-News vom 5. Oktober 2020: EDÖB: Stellungnahme zu Datentransfers in die USA und weitere Staaten ohne angemessenes Datenschutzniveau
- MLL-News vom 21. Dezember 2020: EDSA veröffentlicht Leitlinien-Entwurf zu den datenschutzrechtlichen Rollen des Verantwortlichen und des Auftragsverarbeiters
- MLL-News vom 23. Dezember 2020, Datentransfer in Drittstaaten nach Schrems II: Entwurf der Empfehlungen des EDSA sowie der revidierten Standardvertragsklauseln
- MLL-News vom 7. März 2021: Datentransfer in Drittstaaten nach Schrems II: EDSA und EDPS veröffentlichen Joint Opinion zu revidierten Standardvertragsklauseln
- EDPB/EDSA, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, version for public consultations, adopted on 10 November 2020
- EDPB – EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries