Wie wir in unserem Blog-Beitrag zu «Datenübermittlungen ins Ausland» festgehalten haben, dürfen «Verantwortliche» Personendaten grundsätzlich nur dann ins Ausland übermitteln, wenn im Empfängerland ein «angemessenes Datenschutzniveau» nachgewiesen werden kann.

Um ein «angemessenes Datenschutzniveau» in einem «Empfängerland» als gesichert betrachten zu können, bietet der Gesetzgeber verschiedene vertragliche Garantiemechanismen, die Verantwortliche anwenden können, um dem Sicherheitsanspruch für die Übermittlung und Bearbeitung von Personendaten nach dem Schweizer DSG gerecht werden zu können.

Selbstverständlich setzt hierbei die Anwendung zulässiger vertraglicher Garantiemechanismen voraus, dass die vereinbarten «Garantien» (für die Sicherheit der Rechte und Freiheiten betroffener Personen) im Empfängerland auch tatsächlich gegeben und belastbar sind.

Auf die Ausnahmen, die eine Datenübermittlung ungeachtet der Angemessenheit des Datenschutzes im Empfängerland ermöglichen, und die in Artikel 17 (Ausnahmen) DSG normiert werden, wird in diesem Beitrag nicht weiter eingegangen.

Wesentlich für das Kernthema dieses Beitrags («Transfer Impact Assessment») sind spezifische gesetzliche Vorgaben, u. z. gemäss Artikel 16 Absatz 2 Buchstabe d DSG in Verbindung mit Artikel 8 Absatz 1 und 2 DSV:

Artikel 16 (Grundsätze [der Bekanntgabe von Personendaten ins Ausland]) DSG

«1 Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet.

2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch:

[...]

4. Standarddatenschutzklauseln, die der EDÖB vorgängig genehmigt, ausgestellt oder anerkannt hat; [...].»

Artikel 8 (Beurteilung der Angemessenheit des Datenschutzes eines Staates, eines Gebiets, eines spezifischen Sektors in einem Staat oder eines internationalen Organs) DSV

«1 Die Staaten, Gebiete, spezifischen Sektoren in einem Staat und internationalen Organe mit einem angemessenen Datenschutz werden in Anhang 1 aufgeführt.

2 Bei der Beurteilung, ob ein Staat, ein Gebiet, ein spezifischer Sektor in einem Staat oder ein internationales Organ einen angemessenen Datenschutz gewährleistet, werden insbesondere die folgenden Kriterien berücksichtigt:

1. die internationalen Verpflichtungen des Staates oder internationalen Organs, insbesondere im Bereich des Datenschutzes;
2. die Rechtsstaatlichkeit und die Achtung der Menschenrechte;
3. die geltende Gesetzgebung insbesondere zum Datenschutz sowie deren Umsetzung und die einschlägige Rechtsprechung;
4. die wirksame Gewährleistung der Rechte der betroffenen Personen und des Rechtsschutzes;
5. das wirksame Funktionieren einer oder mehrerer unabhängiger Behörden, die im betreffenden Staat für den Datenschutz zuständig sind oder denen ein internationales Organ untersteht und die über ausreichende Befugnisse und Kompetenzen verfügen. [...]

Fazit zu Artikel 8 DSV: Personendaten dürfen ins Ausland bekannt gegeben werden, wenn die Gesetzgebung des Empfängerlands einen angemessenen Schutz gewährleistet. Welche Länder diese Voraussetzung erfüllen, wird vom Bundesrat festgelegt und im Anhang 1 der Verordnung zum Datenschutzgesetz (DSV) veröffentlicht. Die DSV beschreibt zudem die Kriterien, die der Bundesrat bei seiner Einschätzung anwendet.

Liegt gemäss Artikel 8 DSV im Empfängerland kein «Angemessenheitsbeschluss» vor, kann eine Übermittlung von Personendaten dennoch zulässig sein, wenn der Datenschutz auf andere Weise sichergestellt wird. Eine vertragliche Garantie-Variante, die im Zusammenhang mit unserem Beitragsthema («Transfer Impact Assessment») relevant wird, ist der Einsatz der aus der EU stammenden «Standarddatenschutzklauseln» (SCC), die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) im August 2021 in der neuesten EU-Fassung (Juni 2021) (grundsätzlich) anerkannt hat.

Beim Einsatz der SCC wird zwar vermutet, dass betreffende Verantwortliche alle notwendigen Schutzmassnahmen getroffen haben, die ein angemessenes Datenschutzniveau sicherstellen. Aber diese Vermutung enthält den wesentlichen «Vorbehalt», dass nämlich im konkreten Fall die SCC auch tatsächlich im Empfängerland wirksam sind und dort nicht durch die lokale Gesetzgebung ausgehebelt werden können.

Hintergrund für den «Vorbehalt» ist das vom Europäischen Gerichtshof (EuGH) im Juli 2020 gefällte «Schrems II» Urteil in Zusammenhang mit der Übermittlung von Personendaten in die USA, bei der man sich bis anhin auf das «EU-US Privacy Shield» berief; mit dem EuGH-Urteil wurde das «Privacy Shield» gekippt, da die umfassenden und nicht zu verhindernden Überwachungsmassnahmen in den USA jeglicher Basis für eine datenschutz-rechtssichere Bekanntgabe von Personendaten (in die USA) entbehrten. Dem «Privacy Shield» lagen im Übrigen «alte» SCC zugrunde, die, wie gesagt, inzwischen erneuert wurden, und zwar mit neuer Struktur, und mittlerweile als allein gültige Vorlage.

News: Als Nachfolgeregelung zum «EU-US Privacy Shield» hat die EU-Kommission am 10. Juli 2023 das «EU-U.S. Data Privacy Framework» angenommen und mit sofortiger Wirkung in Kraft gesetzt. Der EDÖB schreibt in einer Online-Mitteilung auf seiner Website dazu:

«10.07.2023 - Der EDÖB hat vom EU-US Data Privacy Framework und dem entsprechenden Angemessenheitsbeschluss der EU Kenntnis genommen. Die Schweiz ist ebenfalls daran, mit den USA Gespräche zur Erstellung eines entsprechenden Rahmenwerks (Swiss-US Data Privacy Framework) zu führen. Diese Gespräche sind weit fortgeschritten. Ab dem 1. September 2023 ist es Aufgabe des Bundesrates, über die Angemessenheit eines Staates gemäss des neuen Schweizer Datenschutzgesetzes zu entscheiden. Er wird bestimmen, ob die USA zu gegebener Zeit in die Liste aufgenommen wird. Bis zum Vorliegen eines solchen Rahmenwerks ändert sich an der Angemessenheitsliste der Schweiz nichts.»

Da diese Neuentwicklung für das hier behandelte Beitragsthema eine bedeutende Relevanz hat, können Sie im letzten Abschnitt dieses Beitrags Genaueres dazu lesen.

Das «Schrems II» Urteil hatte ausserhalb des USA-Bezugs eine erheblich verschärfende Auswirkung zu den Anforderungen bezogen auf den Einsatz der SCC (sowie anderer vertraglicher Garantien) als Basis für die Übermittlung von Personendaten in einen «Drittstaat» ohne angemessene Datensicherheit. Die Konsequenz: (Schweizer) Datenexporteure (Verantwortliche) müssen fortan prüfen, ob die mit ihren Datenimporteuren (i. d. R. Auftragsbearbeiter) vereinbarten vertraglichen Garantien (hier vordergründig die SCC) im Einzelfall geeignet sind, ein angemessenes Datenschutzniveau der in einen «unsicheren» Drittstaat übermittelten Personendaten sicherzustellen. Hier kommt es insbesondere darauf an, ob die jeweilige Gesetzgebung im Empfängerland den Schutz der vertraglich vereinbarten Massnahmen konterkarieren kann. Um das zu prüfen, ist der Begriff «Transfer Impact Assessment» (TIA) in Erscheinung getreten.

Notabene: Im EU-Raum wird die TIA (teilweise) auch als «Daten-Transfer-Folgenabschätzung» übersetzt, was jedoch besonders dann Verwirrung stiftet, wenn gleichzeitig eine «Datenschutz-Folgenabschätzung» (DSFA) für einen Verantwortlichen als relevantes Thema im Raum steht. Eine DSFA ist eine für Verantwortliche generelle bzw. allumfassende Risikoanalyse bezogen auf die datenschutzkonforme Bearbeitung von Personendaten im Hinblick auf die «lokalen» datenschutzrechtlichen Bestimmungen, d. h. ein Auslandsdatentransfer-Bezug wird hier, soweit vorhanden, peripher mit einbezogen.

Ein TIA ist eine separate, spezielle Risikobewertung zur Feststellung, wie hoch die Wahrscheinlichkeit ist, dass ein «Datenimporteur» im «Drittstaat» durch lokal geltendes Recht gezwungen sein kann, gegen die vertraglichen Regelungen, beispielsweise aus den SCC, zu verstossen. Diese Risikobewertung dient der Beschreibung, Messung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Bearbeitung von Personendaten in einem «Drittstaat». Das Ergebnis des TIA muss von beiden Vertragsparteien verpflichtend bzw. verbindlich angenommen und dokumentiert werden.

In seiner Stellungnahme zur Datenübermittlung in die USA vom 8. September 2020 erklärt der EDÖB offiziell, dass auch Schweizer «Datenexporteure» (Verantwortliche), die sich auf vertragliche Garantien (wie beispielsweise SCC) stützen, eine Risikoanalyse durchzuführen haben, bevor sie Personendaten in «unsichere» Drittstaaten übermitteln, ggf. gekoppelt mit der Sicherstellung angemessener zusätzlicher Schutzmassnahmen, die aufgrund der Analyseergebnisse erforderlich werden. Dadurch fällt das Durchführen eines TIA in den Anwendungsbereich des DSG. Die Pflicht, in diesem Zusammenhang eine TIA-ähnliche Prüfung durchzuführen ist bereits fest in Klausel 14 der EU-SCC verankert. Auf die Einzelheiten von Klausel 14 SCC wird noch genauer eingegangen; sie bildet den Prüfungs- bzw. Orientierungsrahmen für die Durchführung eines TIA bzw. einer TIA-ähnlichen Analyse.

Der EDÖB veröffentlichte zusätzlich im Juni 2021 eine «Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug» für Datenübermittlungen, die sich auf vertragliche Garantien stützen. (Die Anleitung wurde im Mai 2023 an das neue DSG angepasst).

Die «Anleitung» enthält ein Prozess-Diagramm mit dem Ablaufschema zur Festlegung ob, und unter welchen Voraussetzungen, eine (beabsichtigte) «Bekanntgabe» von Personendaten ins Ausland zulässig ist. Die einzelnen Schritte in diesem Ablaufschema werden jeweils erläutert. Gemäss der Anleitung müssen Datenexporteure im konkreten Fall eine «detaillierte Erfassung des Datentransfers» vornehmen und prüfen, ob die folgenden vier «schweizerischen Grundrechtsgarantien» in Bezug auf behördliche Zugriffe auf Personendaten im Empfängerland «analog» erfüllt sind oder ob risikobasiert Zweifel an der (ungehemmten) Durchsetzbarkeit der Rechte und Freiheiten betroffener Personen vorliegen:

«1. Legalitätsprinzip: Klare, präzise und zugängliche Regeln [Artikel 5 (Grundsätze rechtsstaatlichen Handelns) und Artikel 164 (Gesetzgebung) der schweizerischen Bundesverfassung, BV]

Hinreichend bestimmte und klare Rechtsgrundlage betreffend Zwecke sowie Verfahren und materiellrechtlicher Voraussetzungen des behördlichen Datenzugriffs und den Befugnissen der Behörden.

2. Verhältnismässigkeit der Befugnisse und Massnahmen im Hinblick auf die verfolgten Regelungsziele [Artikel 5 Absatz 2 (Grundsätze rechtsstaatlichen Handelns) BV und Artikel 6 Absatz 2 (Grundsätze) DSG]

Die Befugnisse und Massnahmen der Behörden müssen geeignet und erforderlich sein, um die gesetzlichen Zwecke der behördlichen Zugriffe zu erfüllen. Zudem müssen sie für die Betroffenen zumutbar sein.

3. Dem Einzelnen müssen wirksame Rechtsmittel zur Verfügung stehen [Artikel 13 Absatz 2 (Modalitäten der Informationspflicht) BV zur Durchsetzung von Artikel 32 (Rechtsansprüche) DSG sowie Artikel 8 (Recht auf Achtung des Privat- und Familienlebens) und 13 (Recht auf wirksame Beschwerde) der Europäischen Menschenrechtskonvention, EMRK)

Betroffene in der Schweiz müssen einen wirksamen gesetzlich verankerten Rechtsbehelf für die Durchsetzung ihrer Rechte zum Schutz der Privatsphäre und informationellen Selbstbestimmung (z.B. Auskunft-, Berichtigungs- und Löschungsrecht) haben.

4. Rechtsweggarantie und Zugang zu einem unabhängigen und unparteiischen Gericht [Artikel 29 ff. (Informationspflicht bei der Bekanntgabe von Personendaten; Informationspflicht bei der systematischen Beschaffung von Personendaten) BV und Artikel 32 (Rechtsansprüche) DSG, sowie Artikel 6 Absatz 1 (Recht auf ein faires Verfahren) EMRK]

Eingriffe in die Privatsphäre und informationelle Selbstbestimmung müssen einem wirksamen, unabhängigen und unparteiischen Kontrollsystem unterliegen (Gericht oder andere unabhängige Stelle, z. B. Verwaltungsbehörde oder parlamentarisches Gremium). Neben vorheriger (gerichtlichen) Genehmigung von Überwachungsmassnahmen (Schutz vor Willkür) muss auch die tatsächliche Funktionsweise des Überwachungssystems überprüft werden können.»

[Quelle: Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 16 Abs. 2 lit. b und d DSG); 3. Erläuterungen [04] Garantien, Seite 5-6 (veröffentlicht Juni 2021; angepasst an das revidierte DSG Mai 2023)]

[Quelle Flowchart-Auszug: «2. Ablaufschema»; Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 16 Abs. 2 lit. b und d DSG); (veröffentlicht Juni 2021; angepasst an das revidierte DSG Mai 2023)]

Im Zusammenhang mit der Durchführung eines TIA ist im abgebildeten Ablaufschema folgende Erläuterung relevant:

«[N06] Analyse

Es ist eine Analyse des Datentransfers im Einzelfall und in Bezug auf das gewählte Instrument wie SCC sowie die rechtlichen Umstände im Drittland vorzunehmen. Der verantwortliche Datenexporteur muss bei der Erfassung und Analyse des Datentransfers alle nötigen Abklärungen vornehmen (z.B. Einholen von unabhängigen Rechtsgutachten).

In die Prüfung ist u.a. Folgendes miteinzubeziehen:

• Geltende Rechtsvorschriften im Zielland
• Praxis der Verwaltungsbehörden und Gerichtsbehörden
• Rechtsprechung
• Subjektive Faktoren wie z.B. die Wahrscheinlichkeit eines Zugriffs können im Regelfall nichtberücksichtigt werden.»

[Quelle: Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 16 Abs. 2 lit. b und d DSG); 3. Erläuterungen [06] Analyse, Seite 6 (veröffentlicht Juni 2021; angepasst an das revidierte DSG Mai 2023)]

Durchführung der TIA im Rahmen von Klausel 14 (Anhang SCC)

Klausel 14 bezieht sich auf den «Anhang des DURCHFÜHRUNGSBESCHLUSS[ES] DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäss der Verordnung (EU) 2016/679», veröffentlich, und aktuell gültig, seit dem 4. Juni 2021. (Abrufbar über folgenden Link für die deutschsprachige Fassung: Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer).

Klausel 14 (Anhang SCC) wird auf Seite 27 (der deutschen Version) wie folgt betitelt:

«ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14

Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken

MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche

MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter

MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche»

Um die «analoge» Erfüllung der vier «schweizerischen Grundrechtsgarantien» in Bezug auf behördliche Zugriffe auf Personendaten im Empfängerland prüfen und einschätzen zu können, ist demnach risikobasiert die Durchführung eines TIA (bzw. einer gleichwertigen Risikoanalyse) erforderlich.

Die SCC lassen offen, wer genau die Verantwortung für die Durchführung des TIA trägt, wobei davon auszugehen ist, dass man die Verantwortung für die Durchführung dem «Datenexporteur» (bzw. dem Auftraggeber) zuordnet, da dieser den betroffenen Personen gegenüber für die Einhaltung der Datenschutzvorschriften verantwortlich ist und schlussendlich dafür einsteht, dass der Datenschutz auch bei einer Datenübermittlung in einen («unsicheren») Drittstaat eingehalten wird.

Klausel 14 c (Anhang SCC) verpflichtet den «Datenimporteur», dem «Datenexporteur» bei der Durchführung des TIA alle nach den Klauseln 14a und 14b für die datenschutzrechtliche Beurteilung der Datenübermittlung erforderlichen sachdienlichen Informationen zur Verfügung zu stellen. Auch diese Regelung führt zu dem Schluss, dass grundsätzlich der «Datenexporteur» für die Durchführung des TIA verantwortlich zu sein scheint.

Empfohlenes Vorgehen

Zunächst ist das geplante Vorhaben in allen Einzelheiten zu beschreiben.

Die Beschreibung erfordert eine Stellungnahme zu folgenden Aspekten:

• Art des Vorhabens gemäss passender Zuordnung der SCC-Module (bezogen auf Datenübermittlungen, Auftragsbearbeitungen, Unterauftragsbearbeitungen etc.).
• Zweck der Datenübermittlung(en).
• Kategorien von betroffenen Personen sowie die Art und Menge der zu übermittelnden Personendaten.
• Beurteilung der datenschutzrechtlichen »Schutzbedürftigkeit» der Personendaten, und zwar nach der Art und Höhe der Risiken für die betroffenen Personen. Nur wenn die Anforderungen an das erforderliche Datenschutzniveau definiert und festgelegt sind, können auch die Anforderungen an das Datenschutzniveau im Empfängerland sowie an die technischen und organisatorischen Massnahmen beim «Datenimporteur» beurteilt werden.
• Festlegung des Empfängerlandes und ggf. eine beabsichtigte Weiterübermittlungen in andere Drittstaaten. Hier sind mögliche Alternativen innerhalb der Schweiz zu prüfen und Übermittlungen an Stellen in Drittstaaten zu begründen.
• Beschreibung der Bearbeitungs- bzw. Übermittlungsketten (Datenempfänger, Weiterleitungen bzw. Unterbeauftragungen).
• Prüfung und Bewertung vorgesehener und umgesetzter Schutzmassnahmen.
• Festlegung und Vereinbarung von eventuell erforderlichen ergänzenden Vereinbarungen sowie von der notwendigen Ausgestaltung technischer und organisatorischer Massnahmen bei «Datenempfängern».

Für jedes betroffene Empfängerland ist das für den Schutz der Personendaten relevante Rechtsniveau zu ermitteln.

Gemeint ist damit, dass ausgehend von der Art der Personendaten ermittelt werden muss, unter welche Gesetze, sonstige Rechtvorschriften und Gepflogenheiten die Personendaten beim «Datenimporteur» fallen und welche Zugangsmöglichkeiten den Nachrichtendiensten, Sicherheitsbehörden und Strafverfolgungsbehörden im Rahmen dieser «Vorschriften» im Empfängerland zu diesen Personendaten ermöglicht werden.

Für unterschiedliche Personendaten-Arten können unterschiedliche Rechtsvorschriften in Frage komme, beispielsweise bestimmte Empfänger-Kategorien, wie Telekommunikations-Anbieter, die einer branchenspezifischen Gesetzgebung unterliegen, von der andere «Datenimporteure» nicht betroffen sein müssen. Der «Datenexporteur» ist hier auf die Zuarbeit des «Datenimporteurs» angewiesen und muss sich beim «Datenimporteur» alle relevanten Informationen über die Regelungen und Gepflogenheiten einholen, die den «Datenimporteur» an der Erfüllung seiner Pflichten aus den SCC hindern könnten.

Eines der zentralen TIA-Themen ist die Prüfung des Rechtsniveaus im Empfängerland.

Gemäss Klausel 14b ii) sind die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Empfängerlands zu prüfen, die eine Offenlegung von Daten gegenüber Behörden vorschreiben oder den Behörden den Zugang zu den Daten ermöglichen. Ebenso ist zu prüfen, ob geltende Beschränkungen der Zugangsmöglichkeiten der Behörden sowie der Garantien für die Rechte und Freiheiten der betroffenen Personen und deren Einhaltung in Form von durchsetzbaren Rechten und wirksamen Rechtsbehelfen gewährleistet sind.

Hierzu enthält die Fussnote zu Klausel 14b ii) weitere wichtige Erläuterungen:

«Zur Ermittlung der Auswirkungen derartiger Rechtsvorschriften und Gepflogenheiten auf die Einhaltung dieser Klauseln können in die Gesamtbeurteilung verschiedene Elemente einfliessen.

Diese Elemente können einschlägige und dokumentierte praktische Erfahrungen im Hinblick darauf umfassen, ob es bereits früher Ersuchen um Offenlegung seitens Behörden gab, die einen hinreichend repräsentativen Zeitrahmen abdecken, oder ob es solche Ersuchen nicht gab.

Dies betrifft insbesondere interne Aufzeichnungen oder sonstige Belege, die fortlaufend mit gebührender Sorgfalt erstellt und von leitender Ebene bestätigt wurden, sofern diese Informationen rechtmässig an Dritte weitergegeben werden können.

Sofern anhand dieser praktischen Erfahrungen der Schluss gezogen wird, dass dem Datenimporteur die Einhaltung dieser Klauseln nicht unmöglich ist, muss dies durch weitere relevante objektive Elemente untermauert werden; den Parteien obliegt die sorgfältige Prüfung, ob alle diese Elemente ausreichend zuverlässig und repräsentativ sind, um die getroffene Schlussfolgerung zu bekräftigen.

Insbesondere müssen die Parteien berücksichtigen, ob ihre praktische Erfahrung durch öffentlich verfügbare oder anderweitig zugängliche zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein von Ersuchen innerhalb desselben Wirtschaftszweigs und/oder über die Anwendung der Rechtsvorschriften in der Praxis, wie Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt wird.»

Hinweis: Zugriffsmöglichkeiten der Behörden des Empfängerlandes stehen einer Datenübertragung auf Grundlage der SCC nicht per se im Wege.

Demzufolge stehen «zwingende Erfordernisse» des für den «Datenimporteur» geltenden innerstaatlichen Rechts nicht im Widerspruch zu den SCC, wenn sie nicht über das hinausgehen, was in einer demokratischen Gesellschaft «zwingend erforderlich» ist. Gemeint sind hier im Wesentlichen folgende Aspekte:

• Gewährleistung der Sicherheit des Staates im Rahmen der Landesverteidigung sowie der öffentlichen Sicherheit.
• Die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstössen gegen berufsständische Regeln bei reglementierten Berufen.
• Der Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.

Ein Auskunftsverlangen der Behörden im Empfängerland, das diesen Erfordernis-Rahmen nicht überschreitet, würde (in diesem Zusammenhang) die Anwendung der SCC ohne weitere vertragliche Garantien ermöglichen. Dennoch ist dieser Umstand vorab sorgfältig zu prüfen und anschliessend zu dokumentieren.

Die bei «Datenempfängern» (inkl. Auftragsbearbeiter und Unterauftragsbearbeiter) eingerichteten technischen und organisatorischen Massnahmen müssen sämtlich eingeholt und auf ihre Eignung und Wirksamkeit in folgender Hinsicht überprüft werden:

• Gewährleistung des Schutzes der Personendaten vor (potenziellen) Zugriffen von anderen Stellen, beispielweise durch Behörden des Empfängerlands.
• Allgemeine Gewährleistung des Schutzes der Rechte und Freiheiten betroffener Personen.

Nach Ermittlung des Rechtsniveaus sowie der Bewertung technischer und organisatorischer Massnahmen bei den «Datenempfängern» wird eine Risikoanalyse durchgeführt.

Bei der Risikobeurteilung sind gemäss Klausel 14b folgende Aspekte «gebührend» zu berücksichtigen:

«i) die besonderen Umstände der Übermittlung, einschliesslich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der [Bearbeitung], die Kategorien und das Format der übermittelten [Personendaten], den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,

ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschliesslich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,

iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäss diesen [SCC] Klauseln eingerichtet wurden, einschliesslich Massnahmen, die während der Übermittlung und bei der [Bearbeitung von Personendaten] im [Empfängerland] angewandt werden.»

Wie hoch das Risiko für betroffene Personen schlussendlich zu bewerten ist, hängt von folgenden Faktoren bzw. von der Intensität der jeweils festgestellten «Risiko-Exponierung» ab:

• Komplexität der «Bearbeitungskette», d. h. die Art und Weise von Datenübermittlungen sowie die Anzahl involvierter Akteure («Datenempfänger», Auftragsbearbeiter und Unterauftragsbearbeiter).
• Sensibilität bzw. Schutzbedürftigkeit der involvierten Personendaten.
• Ausmass der Zugriffsmöglichkeiten und Kenntnisnahme-Erlangung auf bzw. von Personendaten durch Behörden und andere Instanzen im Empfängerland.
• Das Vorhandensein von (dokumentierten) Erkenntnissen sowie praktischer Erfahrung mit den Rechtsvorschriften und Gepflogenheiten des Empfängerlandes, die Vermutungen und Einschätzungen zum dortigen datenschutzrechtlichen Sicherheitsniveau zulassen.

Ziel der Risikoanalyse ist, eine Aussage über die Höhe des Risikos für die Rechte und Freiheiten der betroffenen Personen machen zu können.

Im Übrigen sind Pauschalberwertungen für Gruppierungen von Datenempfängern oder Übermittlungsarten nicht zulässig, d. h. für jede Übermittlungsart sowie für jeden «Datenempfänger» muss eine individuelle Analyse und Bewertung vorgenommen werden.

Folgende Ergebnisvarianten werden durch die Risikoanalyse sichtbar:

• Die Regelungen der SCC reichen für sich genommen im Empfängerland aus, um ein Datenschutzniveau sicherzustellen, das mindestens mit den Schweizer Datenschutzanforderungen gleichgestellt werden kann.
• Die Regelungen der SCC greifen für sich genommen im Empfängerland zu kurz, um den Schweizer Datenschutzanforderungen gerecht zu werden, können aber durch ergänzende Massnahmen die Schweizer Datenschutzanforderungen erfüllen.
• Die Regelungen der SCC greifen für sich genommen im Empfängerland zu kurz, um den Schweizer Datenschutzanforderungen gerecht zu werden und können auch durch ergänzende Massnahmen die Schweizer Datenschutzanforderungen nicht erfüllen. In diesem Fall ist der «Datenexporteur» verpflichtet, die Übermittlung von Personendaten in das betreffende Empfängerland auszusetzen oder zu beenden.

Die Risikobeurteilung ist in jedem Fall zu dokumentieren und muss dem EDÖB auf Verlangen vorgelegt werden.

Weitere Informationen und Empfehlungen

Als sehr hilfreiche Zusatzquelle erweisen sich die Empfehlungen 01/2020 zuMassnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, die vom Europäischen Datenschutzausschuss (EDSA; englisch «EDPB») am 10. November 2020 «angenommen» wurden:

EDSA-Empfehlungen zu Massnahmen zur Gewährleistung des Schutzniveaus für Personendaten mit Auslandbezug

Wichtige Anmerkung: Die deutsche Übersetzung der Empfehlungen wird vom EDSA «ungeprüft» bereitgestellt. Der im Titel verwendete deutsche Begriff «Übermittlungstools» ist keine gelungene Übersetzung des englischen Originals: «transfer tools». Gemeint sind hier nämlich die vertraglichen Mechanismen, d. h. ergänzende vertragliche Formulierungen und notwendige (technische und organisatorische) Schutzmassnahmen, die zur Sicherstellung eines angemessenen Datenschutzniveaus beitragen.

Sonderfall: Individuelle Datenschutzklauseln

Eine Übermittlung von Personendaten in einen «unsicheren» Drittstaat kann gemäss Artikel 16 Absatz 2 Buchstabe b DSG ggf. auch stattfinden, wenn zwischen den Vertragsparteien (d. h. dem «Datenexporteuer» und dem «Datenimporteur») ein «geeigneter Datenschutz» für die Rechte und Freiheiten betroffener Personen gewährleistet ist.

Artikel 16 (Grundsätze [der Bekanntgabe von Personendaten ins Ausland]) DSG

«[...] 2 Liegt kein Entscheid des Bundesrates nach Absatz 1 vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch: [...]

b. Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seiner Vertragspartnerin oder seinem Vertragspartner, die dem EDÖB vorgängig mitgeteilt wurden; [...]»

Der Einsatz von individuellen Datenschutzklauseln erfordert stets eine «vorgängige» Mitteilung an den EDÖB. (Alternativ könnte man durch die Anwendung von SCC, die der EDÖB anerkennt, den ggf. umständlichen Prozess der Gestaltung individueller Datenschutzklauseln vermeiden).

Notabene: «Individuelle Datenschutzklauseln» werden, wie der Begriff schon besagt, anlassbezogen, d. h. «individuell» vereinbart und formuliert. Demgegenüber ist eine Besonderheit der SCC die obligatorische Vorgabe, dass bei deren Anwendung keinerlei inhaltliche und strukturelle Veränderungen vorgenommen werden dürfen. Für den Schweizer «Use Case» müssen ggf. Ergänzungen bezüglich einer Schweizer Gerichtsbarkeit vorgenommen werden, (der sogenannte «Swiss Finish»); aber auch hier darf der Haupttext in keiner Weise abgeändert werden.

Fazit: Bei individuellen Datenschutzklauseln wird die «Risikoprüfung» zum Datenschutz der betroffenen Personendaten im Sinne eines TIA bereits integraler Bestandteil eines Vertragsverhandlungsprozesses im Dienstleistungskontext zwischen einem «Datenexporteur» und einem «Datenimporteur».

Um die Komplexität der Sicherstellung vertraglicher Datenschutzgarantien zu veranschaulichen, die bei der Vereinbarung individueller Datenschutzklauseln zu gewährleisten sind, muss man nur einen Blick auf Artikel 9 Absatz 1 Buchstaben a bis j (Datenschutzklauseln und spezifische Garantien) DSV werfen:

«1 Die Datenschutzklauseln in einem Vertrag nach Artikel 16 Absatz 2 Buchstabe b DSG und die spezifischen Garantien nach Artikel 16 Absatz 2 Buchstabe c DSG müssen mindestens die folgenden Punkte enthalten:

1. die Anwendung der Grundsätze der Rechtmässigkeit, von Treu und Glauben, der Verhältnismässigkeit, der Transparenz, der Zweckbindung und der Richtigkeit;
2. die Kategorien der bekanntgegebenen Personendaten sowie der betroffenen Personen;
3. die Art und den Zweck der Bekanntgabe von Personendaten;
4. gegebenenfalls die Namen der Staaten oder internationalen Organe, in die oder denen Personendaten bekanntgegeben werden, sowie die Anforderungen an die Bekanntgabe;
5. die Anforderungen an die Aufbewahrung, die Löschung und die Vernichtung von Personendaten;
6. die Empfängerinnen und Empfänger oder die Kategorien der Empfängerinnen und Empfänger;
7. die Massnahmen zur Gewährleistung der Datensicherheit;
8. die Pflicht, Verletzungen der Datensicherheit zu melden;
9. falls die Empfängerinnen und Empfänger Verantwortliche sind: die Pflicht, die betroffenen Personen über die Bearbeitung zu informieren;
10. die Rechte der betroffenen Person, insbesondere:
    1. das Auskunftsrecht und das Recht auf Datenherausgabe oder -übertragung,
    2. das Recht, der Datenbekanntgabe zu widersprechen,
    3. das Recht auf Berichtigung, Löschung oder Vernichtung ihrer Daten,
    4. das Recht, eine unabhängige Behörde um Rechtsschutz zu ersuchen. [...]»

Aktuell: EU-U.S. Data Privacy Framework

Mit dem «EU-U.S. Data Privacy Framework» werden neue verbindliche Garantien eingeführt, die den vom EuGH in seinem Schrems-II-Urteil vom Juli 2020 aufgezeigten Mängelaspekten Rechnung tragen sollen.

Durch die neuen Verpflichtungen soll insbesondere sichergestellt werden, dass die US-Nachrichtendienste nur auf Personendaten zugreifen können, wenn ein solcher Zugriff notwendig und verhältnismässig ist.

Daneben soll ein unabhängiges und unparteiisches Rechtsbehelfsverfahren geschaffen werden, dessen Aufgabe darin besteht, Beschwerden von europäischen (und ggf. Schweizer) Bürger:innen über die Erhebung ihrer Daten zu Zwecken der nationalen Sicherheit zu bearbeiten und beizulegen.

Bei der hier zugrunde liegenden «Angemessenheitserklärung» ist man zu dem Ergebnis gekommen, dass die USA für Datenübermittlungen an US-Stellen, die an diesem «Framework» (Rahmenvereinbarung bzw. -beschluss) teilnehmen, für Personendaten ein angemessenes Schutzniveau gewährleisten, d. h. europäische (und ggf. Schweizer) Unternehmen können Personendaten an «teilnehmende» Unternehmen in den USA übermitteln, ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Ab dem 10. Juli 2023 können sich Unternehmen und sonstige betroffene Instanzen in den USA nach diesem Abkommen einer Selbstzertifizierung unterziehen und sich damit auf die Einhaltung detaillierter Datenschutzpflichten, wie Zweckbindung, Datenminimierung und Speicherbegrenzung, sowie auf spezifische Verpflichtungen in Bezug auf die Datensicherheit und die Weitergabe von Daten an Dritte verpflichten. Durchgeführte Selbstzertifizierungen werden in einer «Data Privacy Framework List» («DPF-Liste») veröffentlicht, und Verantwortliche mit Sitz in der EU (bzw. ggf. Verantwortliche in der Schweiz) können an diese zertifizierten US-Unternehmen Personendaten übermitteln, ohne dass weitere angemessene Garantien oder sonstige zusätzliche Massnahmen erforderlich sind.

Wichtig zu beachten: US-Stellen, die nicht an diesem «Framework» teilnehmen, müssen für Datenübermittlungen eine andere Transfergrundlage schaffen oder kommen als «sichere Datenimporteure» nicht in Frage.

Notabene: Bei «zertifizierten» US-Stellen (auf der DPF-Liste) ist darauf zu achten, dass es zwei Kategorien von «zertifizierbaren» Personendaten gibt:

(1) Personendaten, die Beschäftigtendaten nicht einbeziehen bzw. diese nicht einbeziehen dürfen [Non-HR];

(2) Personendaten, die sich ausschliesslich auf Beschäftigtendaten beziehen [HR].

Damit beide Arten von Personendaten übermittelt werden können, müssen die gelisteten US-Stellen für beide Datenarten zertifiziert sein.

Das «Framework» sieht einerseits verbindliche Garantien für betroffene Personen vor, deren Personendaten an (zertifizierte) US-Stellen übermittelt werden, indem der Zugang der US-Nachrichtendienste zu diesen Daten auf das erforderliche und verhältnismässige Mass beschränkt wird, das zum Schutz der nationalen Sicherheit erforderlich wäre. Andererseits wird durch das «Framework» eine verstärkte Aufsicht über die Tätigkeiten der US-Nachrichtendienste gewährleistet um sicherzustellen, dass die geltenden Beschränkungen für Überwachungstätigkeiten eingehalten werden.

Schliesslich umfasst das «Framework» die Einrichtung eines zweistufigen unabhängigen und unparteiischen Rechtsbehelfsverfahrens, das sogar die Schaffung eines neuen Gerichts zur Datenschutzüberprüfung vorsieht; dieses neue Gericht soll Beschwerden über den Zugang zu Daten durch nationale Sicherheitsbehörden der USA untersuchen und beilegen.

Fazit: Sobald sich eine (zertifizierte) US-Stelle öffentlich zur Einhaltung der «DPF-Grundsätze» verpflichtet, ist diese Verpflichtung nach Rechtsprechung der USA durchsetzbar. Zu den Grundsätzen (die den Schutz der Rechte und Freiheiten betroffener Personen gewährleisten sollen) gehören:

• Einhaltung der Informationspflichten.
• Gewährleistung der Zweckbindung.
• Schutz vor Verlust, Missbrauch und unbefugtem Zugriff sowie unbefugter Offenlegung, Änderung und Zerstörung von Personendaten.
• Durchsetzbarkeit der Auskunfts-, Korrektur-, Änderungs- oder Löschrechte betroffener Personen.
• Das Vorhandensein von Mechanismen zur Gewährleistung der Einhaltung der «DPF-Grundsätze».
• Das Vorhandensein von Möglichkeiten zur Durchsetzung von Regressansprüchen bei Nichteinhaltung der «DPF-Grundsätze».
• Die Zusicherung der praktischen Durchsetzung von Konsequenzen für betroffene US-Stellen, wenn die «DPF-Grundsätze» nicht befolgt werden.

Während sich die Ansätze zur Durchführung eines TIA unterscheiden können, sollten sie sich im Ergebnis nicht hinsichtlich der Nachvollziehbarkeit und Plausibilität der abschliessenden Beurteilung unterscheiden.

Wenn Sie bei (geplanten) Datenübermittlungen ins Ausland die SCC mit Ihrem Vertragspartner vereinbaren, muss dazu auch ein TIA durchgeführt werden. Besonders betroffen sind Software-as-a-Service (SaaS) Dienstleister, die regelmässig als Auftragsbearbeiter (hier natürlich im Kontext einer geplanten Übermittlung von Personendaten in ein «unsicheres» Empfängerland) tätig werden.

Beim Erstellen eines TIA im Rahmen der Vereinbarung von SCC können Ihnen unsere erfahrenen und zertifizierten Datenschutzexperten gerne helfen, beispielsweise zur effektiven und gezielten Bestandsaufnahme, Vorbereitung, Ablaufplanung und Strukturierung des TIA. Hierzu bieten wir Ihnen gerne ein kostenfreies und unverbindliches Erstgespräch, z. B. mittels MS Teams.