07/2021 – Fachartikel Swiss Infosec AG
Am 4. Juni 2021 hat die EU-Kommission die neuen EU-Standardvertragsklauseln (engl. «Standard Contractual Clauses» bzw. «SCC») angenommen und veröffentlicht. Bei den SCC handelt es sich um standardisierte Vertragsbestandteile, die vorrangig dem Zweck dienen, eine EU-datenschutzkonforme Übermittlung von Personendaten in Regionen ausserhalb des Europäischen Wirtschaftsraumes (EWR), in sogenannte Drittstaaten (z.B. USA), sicherzustellen. Der Eidgenössische Datenschutz- und Öffent-lichkeitsbeauftragte (EDÖB) hat die SCC in der Vergangenheit akzeptiert und dürfte auch die überarbeiteten wieder ratifizieren.
Muss ich bei meinen bestehenden Verträgen mit Partnern aus Drittstaaten Änderungen vornehmen?
Diese Frage werden sich dieses Jahr viele Organisation stellen müssen, da diverse Vertrags- und Prozessänderungen anstehen und für die Umsetzung lediglich eine kurze Übergangsfrist vorgesehen ist. Der Aufwand für die Anpassung gewisser Verträge und Prozesse darf nicht unterschätzt werden, daher lohnt es sich, bereits jetzt den Handlungsbedarf zu analysieren und mit der Umsetzung von Massnahmen zu beginnen.
Wie steht es mit Datentransfers nach Grossbritannien?
Nach dem Brexit und dem daraus folgenden Austritt Grossbritanniens aus der EU galt hinsichtlich des Datenaustauschs aus EU-Perspektive eine Übergangsfrist bis zum 30. Juni 2021, während der Grossbritannien automatisch als Drittstaat mit angemessenem Datenschutz galt. Mittlerweile hat die EU-Kommission den grenzüberschreitenden Export von Personendaten aus der EU nach Grossbritannien im Rahmen eines Angemessenheitsbeschlusses genehmigt. Damit erübrigt sich diesbezüglich der Abschluss von SCC. Die EU-Kommission ist der Ansicht, dass das britische Datenschutzniveau (britische DSGVO und DPA 2018) im Wesentlichen dem durch die EU-DSGVO (EU-Datenschutz-Grundverordnung) garantierten Schutzniveau entspricht. Die EU-Kommission hat zwei Angemessenheitsbeschlüsse getroffen, (i) einen im Rahmen der DSGVO und (ii) einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Zum ersten Mal enthalten die Angemessenheitsbeschlüsse jedoch eine sogenannte «Sunset-Klausel», mit der ihre Laufzeit auf vier Jahre begrenzt wird. Dies bedeutet, dass die Entscheidungen vier Jahre nach ihrem Inkrafttreten automatisch auslaufen. Da-nach können die Angemessenheitsbeschlüsse verlängert werden, allerdings nur, wenn Grossbritannien weiterhin ein angemessenes Datenschutzniveau gewährleistet. Während den vier Jahren wird die EU-Kommission die Rechtslage in Grossbritannien weiterhin überwachen und kann jederzeit eingreifen, falls Grossbritannien von dem derzeit geltenden Schutzniveau abweicht.
Hintergrund
Die jetzigen SCC sind über zehn Jahre alt. Die neuen SCC berücksichtigen neu auch die Voraussetzungen hinsichtlich Art. 46 DSGVO für den Transfer von Personendaten in Drittstaaten und das wichtige Schrems-II-Urteil des Europäischen Gerichtshofes vom 16. Juli 2020.
Schrems-II-Urteil
Der Europäische Gerichtshof hat mit dem Schrems-II-Urteil erklärt, dass Personendaten nur an Drittstaaten ausserhalb des EWR übermittelt werden dürfen, wenn sie in diesem Drittstaat einen im Wesentlichen gleichwertigen Schutz geniessen wie in der EU. Der Datentransfer in die USA ist primär davon betroffen, da das Schrems-II-Urteil den Angemessenheitsbeschluss der EU-Kommission gemäss «Privacy Shield» aufhebt. Dieser besagte, dass die USA unter bestimmten Umständen ein der DSGVO angemessenes Schutzniveau für Personendaten bietet. Auf diesem Weg war ein datenschutzkonformer Datentransfer zwischen den USA und der EU überhaupt erst möglich.
Demnach betrifft das Schrems-II-Urteil alle öffentlichen Stellen und Unternehmen, die
- Personendaten in die USA übermitteln – insbesondere dann, wenn dieser Datentransfer gestützt auf das Privacy Shield ergeht. Ferner stellt die Nutzung von SCC für Unternehmen keine Garantie dar, dass sie Schrems-II-konform handeln. Das Problem liegt darin, dass die Klauseln in der Regel nicht abdecken, dass Behörden (wie z.B. der US-Geheimdienst) keinen Zugriff auf die Personendaten haben.
- Personendaten in einen anderen Drittstaat übermitteln. Auch in Fällen, in denen sich der Datentransfer nicht auf das Privacy Shield gestützt hat, müssen hier die vertraglichen Konditionen und die Datenschutzregelungen, die im jeweiligen Drittstaat gelten, genauer betrachtet werden.
Der EDÖB hat sich diesen Schlussfolgerungen im Grossen und Ganzen angeschlossen.
Was hat sich mit den neuen SCC geändert?
1. Aufbau
Die verschiedenen Varianten der Datentransfers sind nicht – wie bis anhin – auf zwei Dokumente aufgeteilt, sondern nur noch in einem Dokument zusammengefasst. Darüber hinaus besteht eine Gliederung in vier Module, wodurch eine flexible Vertragsgestaltung ermöglicht wird und das entsprechende Modul gemäss dem Verhältnis der Parteien untereinander ausgewählt werden kann.
Die vier Module in den neuen SCC sind:
- Übermittlung von Personendaten zwischen zwei Verantwortlichen
- Übermittlung von Personendaten vom Verantwortlichen an den Auftragsverarbeiter
- Übermittlung von Personendaten zwischen zwei Auftragsverarbeitern
- Übermittlung von Personendaten vom Auftragsverarbeiter an den Verantwortlichen
2. Inhalt
Neu sehen die SCC eine obligatorische Datentransfer-Folgenabschätzung vor. Es geht dabei um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittstaat in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen.
Zudem besteht neu die Pflicht für den Datenimporteur, die Aufforderung einer staatlichen Datenbehörde zu einer Datenbekanntgabe unter gewissen Umständen anzufechten und die zuständigen Aufsichtsbehörden über solche Aufforderungen zu informieren.
Die Datentransfer-Folgenabschätzung ist zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen.
Frist und Ausblick
Ab dem Zeitpunkt der offiziellen Veröffentlichung der SCC am 4. Juni 2021 im Amtsblatt der EU und innerhalb einer Frist von 18 Monaten müssen die bestehenden Verträge um die neuen SCC ergänzt werden.
Reicht die blosse Unterzeichnung der neuen SCC aus für einen sicheren Datentransfer in Drittstaaten?
Trotz Abschluss der neuen Klauseln bleibt eine Einzelfallprüfung des Datenschutzniveaus unerlässlich. Die neuen SCC allein werden in der Regel nicht ausreichen, um die Anforderungen des Europäischen Gerichtshofes aus dem Schrems-II-Urteil vom 16. Juli 2020 an Drittstaatentransfers zu erfüllen.
Bei der Einzelfallprüfung ist insbesondere der Vertragstext und das tatsächliche Datenschutzniveau zu überprüfen. Es ist zu empfehlen, Letzteres durch einen Fragenkatalog an den Verarbeiter im Drittstaat durchzuführen.
Folglich stellt die blosse Unterzeichnung der neuen SCC nicht einen Blankoscheck dar und reicht alleine nicht aus. Der Verantwortliche muss weitergehend tätig werden, um einen sicheren Drittstaatentransfer zu ermöglichen. Technische Massnahmen wie die Verschlüsselung oder Pseudonymisierung der Daten können einen wirksamen Schutz bieten.
Gerne unterstützen wir Sie bei der Anpassung von bestehenden Verträgen mit Partnern aus Drittstaaten sowie bei der Umsetzung der Einzelfallprüfung oder bei weiteren Fragen in Bezug auf den Sicheren Datentransfer in Drittstaaten.
Swiss Infosec AG; 01.07.2021
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch