Wenn sensible Daten Grenzen überschreiten
Publiziert am
Das schweizerische Datenschutzgesetz gewährleistet den Schutz der Privatsphäre für Datenbearbeitungen, die von Personen in der Schweiz vorgenommen werden. Wenn aber Daten ins Ausland übermittelt werden sollen, muss sichergestellt sein, dass diese Daten dort angemessen geschützt sind. Dabei wird beurteilt, ob der ausländische Staat aus Sicht der Schweiz über ein angemessenes Datenschutzniveau verfügt.
Welche Länder über einen solchen angemessenen Schutz verfügen, wird vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in der sogenannten «Staatenliste» festgehalten. Befindet sich ein Staat auf dieser Liste (beispielsweise die gesamte EU), dann ist eine Übertragung der Daten ohne zusätzliche Sicherheitsmassnahmen möglich. Die Daten können frei fliessen.
Der Datenexporteur bleibt aber in jedem Fall für den Datenexport verantwortlich und muss sich periodisch darüber informieren, ob die Angemessenheit nach wie vor gilt und dass nicht andere Gründe – etwa aufgrund von Hinweisen aus der Praxis oder den Medien – gegen eine sichere Bearbeitung der Personendaten im entsprechenden Zielland sprechen.
Herausforderung «Drittländer»
Rechtliche Herausforderungen stellen sich dann, wenn ein Drittland nur über einen ungenügenden Schutz verfügt – wie das beispielsweise bei den USA, China und Russland der Fall ist. In diesem Fall muss mittels «hinreichenden Garantien» sichergestellt werden, dass ein gemäss den schweizerischen datenschutzrechtlichen Bestimmungen angemessener Schutz im Ausland gewährleistet ist.
Grundlegend ist hierbei eine detaillierte Erfassung des geplanten Datentransfers, wobei insbesondere zu klären ist, ob die zu exportierenden Daten einen Personenbezug aufweisen, ob Personen bestimmt oder bestimmbar sind, aber auch, was der Zweck der Datenbekanntgabe ist.
Des Weiteren ist zu bestimmen, welche Kategorien von Personendaten übermittelt werden – und ob es weitere Auftrags- und Unterauftragsbearbeiter gibt und ob sich diese allenfalls in Drittländern befinden.
Wichtig ist auch zu wissen, ob die Personendaten von Unternehmen bearbeitet werden und welchen Rechtsordnungen diese unterstehen – das ist beispielsweise dann von Relevanz, wenn es um US-amerikanische Cloudanbieter geht, die ihre Server möglicherweise in der Schweiz, dem EWR oder der Europäischen Union haben.
Zu guter Letzt ist festzustellen, ob die Daten innerhalb des Drittlandes oder in ein weiteres Drittland weiterübermittelt werden oder ob es Hinweise gibt, dass es dazu kommen könnte.
Nötige Vorkehrungen
Der EDÖB hat in seiner Mitteilung vom 27. August 2021 die von der Europäischen Kommission revidierten EU-Standardvertragsklauseln anerkannt, unter dem Vorbehalt, dass sie an die Verhältnisse in der Schweiz angepasst beziehungsweise ergänzt werden. Gleichzeitig hat der EDÖB den Unternehmen eine Frist bis zum 1. Januar 2023 gesetzt, um allfällige Verträge, die auf den alten Standardvertragsklauseln basieren, zu überarbeiten.
Anzumerken ist, dass unternehmensinterne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), welche die Datenbekanntgabe ins Ausland innerhalb eines Konzerns oder zwischen verschiedenen Unternehmen unter einheitlicher Leitung regeln, von einem Datenexporteur im externen Verhältnis nicht als Ersatz von SCC verwendet werden können. BCRs sind ohne Zustimmung des externen Datenexporteurs und unabhängig von der Vertragslaufzeit meistens vom Datenimporteur individuell abänderbar und es fehlen zudem wesentliche Bestandteile, die in einem SCC abgebildet sind – beispielsweise Bestimmungen betreffend der Einsetzung von Subunternehmern.
Schweizer Unternehmen sollten deshalb folgende Vorkehrungen treffen:
- Prüfen Sie, bei welchen von Ihren Verträgen es zu einem grenzüberschreitenden Austausch von Personendaten kommt.
- Prüfen Sie, ob und mit welchen Unternehmen (Zum Beispiel IT-Anbietern) Verträge abgeschlossen wurden, die noch auf den alten Vertragsklauseln basieren.
- Ersetzen Sie alle diese Verträge durch die neuen Standardvertragsklauseln, nach entsprechender Anpassung an die Situation in der Schweiz.
Allenfalls zusätzliche Massnahmen
Sofern der Datentransfer in einen Drittstaat erfolgt, wo die Daten dem Risiko eines behördlichen Zugriffs ausgesetzt sind oder der einzelnen Person keine wirksamen Rechtsmittel zur Verfügung stehen, müssen zusätzliche technische und organisatorische Massnahmen ergriffen werden.
Diese zusätzlichen Massnahmen müssen derart gestaltet sein, dass die Behördenzugriffe auf die übermittelten Personendaten im Zielland faktisch verhindert werden. Bei der Datenhaltung im Sinne eines reinen Cloud-
Betriebs durch Dienstleister eines Staates ohne angemessenes Schutzniveau wäre zum Beispiel eine Verschlüsselung denkbar, die nach den Prinzipien BYOK («bring your own key») und zusätzlich BYOE («bring your own encryption») umgesetzt ist, sodass in der Cloud keine Klardaten vorliegen respektive in der Cloud keine Entschlüsselung und Verschlüsselung erfolgt. Bei über die reine Datenhaltung hinausgehenden Dienstleistungen im Zielland gestaltet sich der Einsatz solcher technischen Massnahmen indes als anspruchsvoll.
Diese Abklärungen und Vorkehrungen können zeitaufwendig sein. Denn in der Praxis verfügen die Unternehmen meist nicht über ein zentrales Verzeichnis solcher Verträge. Nach dem künftigen revidierten Datenschutzgesetz wird die Führung eines sogenannten «Registers der Verarbeitungstätigkeiten» für viele Unternehmen obligatorisch sein, was letztlich den Überblick über solche Verträge erleichtern wird. Folglich müssen diese Verträge bei den einzelnen betroffenen internen (oder externen) Abteilungen angefordert und beschafft werden.
Vor allem grössere internationale Anbieter haben die Standardvertragsklauseln oft in ihre Standardverträge integriert. Obwohl die Verträge in der Regel auf europäische Kunden ausgerichtet sind (das heisst, die Anforderungen der EU-Datenschutzgrundverordnung berücksichtigen), sind sie nicht auf den (kleineren) Schweizer Markt ausgerichtet. Eine Revision kann daher zeitaufwendige Neuverhandlungen nach sich ziehen.
Schlussfolgerung
Kann trotz Abschluss von Standardvertragsklauseln und zusätzlichen Massnahmen kein angemessenes Datenschutzniveau hergestellt werden, resultiert dies in einer Aussetzung beziehungsweise Beendigung des Datentransfers.
Schweizer Unternehmen sollten daher jetzt aktiv werden, um die alten Standardvertragsklauseln bis zum 1. Januar 2023 auf den neuen Standard zu bringen. Mit Inkrafttreten des neuen Datenschutzgesetzes (voraussichtlich im September 2023) werden Verletzungen dieser Bestimmungen mit Individualstrafen bis zu 250 000 Schweizer Franken gebüsst.
Philipp Rosenauer
Der Autor ist Direktor bei PwC Legal Schweiz. Er berät Unternehmen seit mehreren Jahren in datenschutzrechtlichen Fragestellungen und unterstützt diese bei der Implementierung der neuen Anforderungen.