Datenexporte: Eine Anleitung

28.09.2021 von Lukas Stoller

Seit dem Urteil des Europäischen Gerichtshofs i.S. Schrems II müssen Unternehmen bei Datenexporten in die USA zusätzliche Massnahmen ergreifen. Diese Vorsichtspflichten greifen allerdings nicht nur bei den USA, sondern bei sämtlichen Drittländern. Eine gute Absicherung bieten die sogenannten Standardvertragsklauseln («SCCs»).

Die nachfolgende Anleitung soll Dir aufzeigen, welche Massnahmen Du bei Datenexporten ergreifen musst. Die einzelnen Prüfschritte werden in den untenstehenden Erläuterungen erklärt.

Beispiele für Datenexporte

  1. Du hast eine Tochterfirma in China und gibst ihr Zugriff auf Dein CRM;

  2. Du nutzt Ad-Services von Google, was dazu führt, dass Google Cookies auf den Browsern Deiner Webseitenbesucher*innen platziert und deren IP-Adressen speichert;

  3. Du nutzt Cloudservices, wobei es zu einer Speicherung von Daten auf Servern in einem Drittstaat kommen kann.

Anleitung

Erläuterungen
1. Welche Art von Daten werden übermittelt?

Daten ohne Personenbezug darfst Du in der Regel einfach so ins Ausland exportieren. Vorbehalten sind bspw. Informationen, die unter das Amtsgeheimnis fallen. Personenbezogene Daten hingegen darfst Du nur dann ins Ausland übermitteln, wenn dadurch die Persönlichkeit der betroffenen Person nicht schwerwiegend gefährdet wird.

Der Grad der Schwere einer Gefährdung beurteilt sich anhand der Angemessenheit des Datenschutzniveaus des Ziellandes (Erläuterungen Ziff. 2).

2. In welches Land werden die Daten exportiert?

Gemäss Art. 16 Abs. 1 revDSG darfst Du Personendaten ins Ausland bekanntgeben, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates einen angemessenen Schutz gewährleistet. Seinen Vorschlag findest Du im Anhang 1 des Entwurfes der totalrevidierten Verordnung zum revDSG (E-VDSG).

Wenn es sich beim Empfängerland um ein EU/EWR Land handelt, kannst Du grundsätzlich von einem angemessenen Datenschutzniveau ausgehen.

3. Ausnahmen gemäss Art. 17 Abs. 1 revDSG

Art. 17 Abs. 1 revDSG listet verschiedene Ausnahmen auf, die den Datenexport in ein Drittland ohne angemessenes Datenschutzniveau ermöglichen. Dies ist bspw. der Fall, wenn die betroffene Person im Einzelfall ausdrücklich in den Datenexport eingewilligt hat, wobei eine globale Einwilligung via AGB nicht ausreicht. Um zu prüfen, ob Dein Vorhaben unter eine Ausnahme fällt, prüfe Art. 17 revDSG.

4. Standarddatenschutzklauseln

Ist keine gesetzliche Ausnahme gegeben, darfst Du personenbezogene Daten ins Ausland bekanntgeben, wenn Du einen angemessenen Schutz der Daten gewährleisten kannst (vgl. Art. 16 Abs. 2 revDSG ).

Das wohl am häufigsten eingesetzte Werkzeug für einen Datenexport in ein Drittland ohne Angemessenheitsbeschluss, stellen die Standarddatenschutzklauseln, sog. Standard Contract Clauses («SCCs»), dar. Das sind Mustervertragsklauseln.

Die EU Kommission hat am 4. Juni 2021 neue SCCs verabschiedet (wir haben berichtet). Der EDÖB hat die Klauseln mit Mitteilung vom 27. August 2021 anerkannt.

Wie gestaltest Du Deine SCCs?

Wie Du erkennen kannst, sind die SCCs in verschiedene Module aufgebaut. Es kommt nämlich darauf an, wer wem Daten übermittelt. Die SCCs kennen vier Szenarien:

  • MODULE ONE: Transfer controller to controller (Verantwortlicher – Verantwortlicher)

  • MODULE TWO: Transfer controller to processor (Verantwortlicher – Auftragsbearbeiter)

  • MODULE THREE: Transfer processor to processor (Auftragsbearbeiter – Auftragsbearbeiter)

  • MODULE FOUR: Transfer processor to controller (Auftragsbearbeiter – Verantwortlicher)

Du musst also zuerst wissen, welche Rollen Du und der Datenempfänger in der Datenbearbeitung einnehmt.

Als nächstes stellst Du die Klauseln nach dem einschlägigen Szenario zusammen.

Die einzelnen Klauseln des für Dich einschlägigen Moduls musst Du vollständig und wortwörtlich übernehmen. Ausgenommen sind Fälle, in denen die SCC eine Wahloption oder Variante zulassen.

Am Schluss folgt der schwierigste Teil: Du musst nämlich auch erklären, zu welchem Zweck Du die Daten exportierst, welche Datenkategorien betroffen sind, ob Du zusätzliche Massnahmen zum Schutz ergreifst und welche technisch organisatorische Massnahmen Dein Empfänger implementiert hat.

Bist Du ein Datenexporteur aus der Schweiz, musst Du noch eine Besonderheit beachten: Da die neuen SCCs von der EU Kommission ausgearbeitet wurden, richten sie sich nach der DSGVO. Der EDÖB verpflichtet Dich deshalb, einige kleinere Anpassungen an den SCCs vorzunehmen. Dies betrifft insbesondere den Gerichtsstand und das anwendbare Recht. Du findest seine Vorgaben hier.

5. Transfer Impact Assessment

Die neuen SCCs sehen in Klausel 14 vor, dass Du eine sog. Transferfolgeabschätzung bzw. Transfer Impact Assessment («TIA») vornehmen musst. Das musst Du vor der Datenübermittlung tun.

Das TIA dient dazu, im Einzelfall die Wahrscheinlichkeit eines unbeabsichtigten bzw. unberechtigten Zugriffs von ausländischen Behörden auf die betroffenen Personendaten einzuschätzen. Dabei geht es insbesondere um Überwachungs- oder Durchsuchungsmassnahmen ausländischer Nachrichten- und Sicherheitsdienste.

Das EDÖB schliesst sich in vielen Hinsichten der Haltung der europäischen Behörden an. Dementsprechend verlangt auch der EDÖB die Durchführung eines TIA.

Es gibt verschiedene Möglichkeiten, wie Du diese Risikoeinschätzung im Einklang mit den EU-Leitlinien und dem revDSG bewerten kannst. Die International Association of Privacy Professionals («iapp») hat ein Muster-TIA zur Verfügung gestellt, das Du für Deine Transferfolgeabschätzung benutzt kannst.

6. Meldepflicht beim EDÖB

Gemäss Art. 6 Abs. 1 VDSG hast Du aktuell noch eine Informationspflicht gegenüber dem EDÖB, wenn Du SCCs verwendest. Du bist verpflichtet, dem EDÖB vor der Datenübermittlung schriftlich mitzuteilen, welche SCCs Du verwendest, in welches Land die personenbezogenen Daten übermittelt werden und wer der Datenempfänger ist. Der EDÖB stellt für diese Meldung kein Formular zur Verfügung. Mit dem Inkrafttreten des revDSG entfällt diese Informationspflicht.

Gerne unterstützt Dich das Team von datenschutz.law bei der Ausarbeitung Deiner Standarddatenschutzklauseln!

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum