Recht

Datenschutz

Weitere Anpassungen an das EU-Recht

04.02.2022
Im vergangenen Jahr veröffentlichte die EU-Kommission überarbeitete Standarddatenschutzklauseln (SDK), die im Einklang mit der EU-Datenschutzgrundverordnung (DSGVO) stehen. Diese werden vom Schweizerischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) anerkannt.
PDF Kaufen

Der Europäische Gerichtshof EuGH hatte 2020 mit dem «Schrems II»-Urteil nicht nur die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shields für unzulässig erklärt, sondern zusätzlich festgestellt, dass das Instrument der bisherigen SDK beim Datentransfer in Drittstaaten datenschutzrechtlich nicht immer ausreichend sei. 

Mit den neuen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der DSGVO bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden. 

Nach dem Durchführungsbeschluss 2021/914 der EU wurden die alten Standardvertragsklauseln am 27. September 2021 aufgehoben. In Bezug auf Verträge, die vor diesem Datum auf Grundlage der Entscheidung 2001/497/EG oder des Beschlusses 2010/87/EU geschlossen wurden, wird davon ausgegangen, dass sie bis zum 27. Dezember 2022 geeignete Garantien im Sinne des Art. 46 Abs. 1 DSGVO sind – vorausgesetzt, dass die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt. 

Die Standardklauseln

Als Datenexporteure gelten natürliche oder juristische Personen, die Daten in ein Drittland übermitteln. Als Datenimporteur gilt, wer diese Daten direkt oder indirekt erhält. Auch Datenexporteure, die im Auftrag eines Organs oder einer Einrichtung der EU als Verantwortliche handeln, können diese Klauseln bei der Beauftragung eines anderen Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht der DSGVO untersteht, anwenden, weil sie den entsprechenden Vorschriften angeglichen sind.  

Neu in den SDK ist der modulare Ansatz, mit dem man die Klauseln an verschiedene Übermittlungsszenarien angepasst hat. Die Verantwortlichen und Auftragsverarbeiter sollen einerseits die allgemeinen Bestimmungen beachten, aber auch für Einzelheiten das zutreffende Modul auswählen. Diese Module unterscheiden sich unter anderem durch die Weisungsberechtigung (Klausel 8.1).

  • Modul eins: Übermittlung von Ver­ant­wortlichen an Verantwortliche: Für dieses Modul gibt es keine Regelungen über Weisungen bzw. Weisungsberechtigung. Zu empfehlen ist, eine gegenseitige Informationspflicht und Kontaktpersonen zu vereinbaren, für den Fall, dass Verpflichtungen nicht eingehalten werden können oder es sonstige Probleme gibt.
  • Modul zwei: Übermittlung von Verantwortlichen an Auftragsverarbeiter: Der Datenimporteur verarbeitet die per­sonenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.
  • Modul drei: Übermittlung von Auftragsverarbeitern an Auftragsverar­beiter: Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die ihm vom ­Datenexporteur mitgeteilt wurden, und allenfalls zusätzlicher Weisungen, die nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann. Der Datenexporteur teilt das unverzüglich dem Verantwortlichen mit.
  • Modul vier: Übermittlung von Auftrags­verarbeitern an Verantwortliche: Der Datenexporteur verarbeitet die per­sonenbezogenen Daten nur auf dokumentierte Weisung des Datenimporteurs, der als sein Verantwort­licher ­fungiert. Der Datenimporteur sieht von jeglicher Handlung ab, die den Da­tenexporteur an der Erfüllung seiner Pflichten gemäss der DSGVO hindern würde, auch im Zusammenhang mit Unterverarbeitungen oder der Zusammenarbeit mit den zuständigen Aufsichtsbehörden. Der Datenexporteur unterrichtet den Datenimporteur unverzüglich, wenn er die betreffenden Weisungen nicht befolgen kann, unter anderem wenn eine solche Weisung gegen Datenschutzvorschriften der EU oder eines Mitgliedstaats verstösst.

Die grundlegenden Verpflichtungen in Klausel 8.1 bis 8.9. sind im Prinzip für alle Module gleich und die Klauseln 2 ­bis 8 enthalten allgemeine Bestimmungen über Anwendung und Auslegung, die für alle Module gelten, siehe Kastentext. Sonst kann es innerhalb der ein­zelnen Module vorkommen, dass man Unter­optionen zur Auswahl hat, wie zum ­Beispiel in Klausel 9 über den Einsatz von Unterauftragnehmern, in den Modulen zwei und drei kann man zwischen allgemeiner und Sondergenehmigung für die Zusammenarbeit mit Unterauftragnehmern wählen. 

Wichtig: Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten. 

Das Schweizer Recht

In der Schweiz gibt vorläufig noch das alte Datenschutzgesetz, das revidierte soll in der zweiten Jahreshälfte 2022 in Kraft gesetzt werden. Der EDÖB hat eine Anleitung «Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge für die Anpassung der Standardklauseln» herausgegeben. Darin heisst es: «Bei den DSG unterliegenden Datenübermittlungen ins Ausland sind die entsprechenden Rechte und Pflichten jedoch nach DSG zu beurteilen, und so wendet auch der EDÖB bei deren aufsichtsrechtlichen Beurteilung das DSG an. Daher sind die Verweise auf die DSGVO in diesem Zusammenhang als Verweise auf das DSG zu verstehen. 

Zur Vermeidung von Missverständnissen bei der Vertragsauslegung und -anwendung muss dies in einem Anhang entsprechend präzisiert werden.» 

Man kann zwei separate Regelungen vorsehen, wobei die eine die Datenübermittlung nach DSG abdeckt und die andere diejenige nach DSGVO. Dabei ist in einem Anhang festzuhalten, dass die Verweise auf die DSGVO als Verweise auf das DSG zu verstehen sind, soweit die Datenübermittlungen dem DSG unterstellt sind. Für den DSG-Bereich kann man für ­ver­tragliche Ansprüche Schweizer Recht vereinbaren, das wird vom EDÖB empfohlen. Man kann auch eine andere Rechtswahl ­treffen, sofern dadurch die Rechte der betroffenen Personen nicht geschwächt werden. Im Anwendungsbereich der DSGVO ist hingegen zwingend das Recht ­eines Mitgliedstaates zu wählen, und ­dieses muss ebenfalls die Drittbegünstigung ­zulassen. Nur bei Modul vier steht die Rechtswahl den Parteien frei. 

Für Verhältnisse, in denen sowohl das DSG als auch die DSGVO anwendbar ist, können die Parteien für Streitigkeiten über Datenübermittlungen, die dem DSG unterliegen, einen beliebigen Gerichtsstand vereinbaren. Für Streitigkeiten betreffend Datenübermittlungen gemäss DSGVO muss zwingend ein Gericht eines Mitgliedstaates vereinbart werden. Es muss sorgfältig beurteilt werden, ob zwei mögliche Gerichtsstände für dieselben Verträge sinnvoll sind. 

Sämtliche Datenbearbeitungen können dem Standard der DSGVO unterstellt werden, da die DSGVO einen angemessenen Schutz bietet und die betroffenen Personen folglich dadurch nicht schlechter gestellt werden. Dann gelten das Recht und der Gerichtsstand in einem EU-Staat. 

In allen Fällen sind folgende Anpassungen nötig:

  • Die Klauseln sind mit einem Anhang zu ergänzen, worin präzisiert wird, dass der Begriff «Mitgliedstaat» nicht so ausgelegt werden darf, dass betroffene Personen mit dem gewöhnlichen Aufenthaltsort Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte dort einzuklagen. 
  • Es muss klargestellt werden, dass die Klauseln bis zum Inkrafttreten des ­revidierten DSG auch die Daten juris­tischer Personen schützen. 

Anhänge

Eine wichtige und allenfalls zeitraubende Arbeit ist das Ausfüllen der Anhänge. In Anhang I werden die Parteien und ihre Kontaktdaten erfasst, die Ka­tegorien der übermittelten Daten und der Zweck, die Dauer und die Art der Datenübermittlung. 

Besonders wichtig ist Anhang II über Technische und organisatorische Massnahmen, einschliesslich zur Gewährleistung der Sicherheit der Daten. Für Modul eins bis drei müssen konkrete technische und organisatorische Massnahmen für jede Datenübermittlung/Kategorie von Datenübermittlung angegeben werden. In Anhang II sind dafür auch mögliche Massnahmen gelistet, dabei handelt es sich nur um einen Beispielkatalog. Man muss die Auflistung der Schutzmass­nahmen individuell gestalten. Dabei sind Art, Umfang, Umstände und Zweck der Verarbeitung sowie Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigten. 

Anhang III muss bei den Modulen zwei und drei im Falle einer gesonderten ­Genehmigung von Unterauftragsverarbeitern ausgefüllt werden. 

Verstösse und Haftung

Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten (Klausel 16). Verstösst der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung per­sonenbezogener Daten an den Daten­importeur aus, bis der Verstoss beseitigt oder der Vertrag beendet ist. In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde, bei Modul drei auch den Verantwortlichen, über derartige Verstösse. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, ­sofern die Parteien nichts anderes ver­einbart haben.

In Bezug auf Haftung gilt nach Klausel 12: Für die Module eins und vier: Jede Partei haftet gegenüber der/den anderen Partei/-en für Schäden, die sie ihr durch einen Verstoss gegen diese Klauseln verursacht. Alle beteiligten Parteien haften gegenüber der betroffenen Person. Diese hat Anspruch auf Schadenersatz für ­jeden materiellen oder immateriellen Schaden, den die Partei ihr verursacht, indem sie ihre Rechte als Drittbegünstigte gemäss diesen Klauseln verletzt.
 
Für Modul zwei und Modul drei: Jede Partei haftet gegenüber der anderen Partei für Schäden, die sie ihr durch einen Verstoss gegen diese Klauseln verursacht. Der Datenimporteur haftet gegenüber der betroffenen Person, und diese hat ­Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Un­terauftragsverarbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäss diesen Klauseln verletzt.

Beendigung des Vertrages

Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit es die Ver­arbeitung personenbezogener Daten gemäss diesen Klauseln betrifft, wenn 

  • der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur ausgesetzt hat und die Einhaltung dieser Klauseln nicht in­nerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde 
  • der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstösst oder
  • der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäss diesen Klauseln zum Gegenstand hat, nicht nachkommt.

Nach Beendigung des Vertrages müssen bei den Modulen eins bis drei personenbezogene Daten, die vor Beendigung des Vertrags übermittelt wurden, nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt auch für alle Kopien der Daten. Bei Modul vier müssen von dem in der EU ansässigen Daten­exporteur erhobene personenbezogene Daten, die vor Beendigung des Vertrags übermittelt wurden, unverzüglich vollständig gelöscht werden, einschliesslich aller Kopien.