Die Schweiz erkennt die Standardvertragsklauseln der EU an. Sind Schweizer Datenexporteure wieder sicher? – Privatsphäre

Am 27. August 2021 hat der Eidgenössische Datenschutz- und Informationsbeauftragte (EDÖB) die am 4. Juni 2021 veröffentlichten Standardvertragsklauseln der Europäischen Union (SCC) als vertragliche Garantien anerkannt (Siehe unser Briefing vom Juni 2021(für die Übermittlung von Personendaten durch Schweizer Unternehmen in Länder, die kein angemessenes Datenschutzniveau haben, vorbehaltlich gewisser Änderungen gemäss EDÖB)Siehe EDÖB-Korrespondenz vom 27. August 2021). Schweizer Unternehmen, die derzeit auf SCC angewiesen sind, um personenbezogene Daten ins Ausland zu übermitteln, müssen bis spätestens 31. Dezember 2022 das neue SCC akkreditieren.

Gibt es eine Nachfrist für Unternehmen, um die neue Saudi Cable Company zu genehmigen?

Bis zum 31. Dezember 2022 können sich Schweizer Unternehmen noch auf den alten SCC für einen kontinuierlichen und im Wesentlichen unveränderten Datenexport verlassen, sofern der SCC vor dem 27. September 2021 erfasst wird. Nach dem letzten Datum darf der alte SCC nicht mehr erfasst werden. Wir empfehlen Ihnen, das alte SCC nicht mehr zu verwenden und jedes vorhandene SCC durch das neue SCC zu ersetzen, wenn nach dem 27. September 2021 keine anderen Sicherheitsvorkehrungen für den Datenexport mehr verfügbar sind.

Welche Modifikationen sind an einem SCC für den Einsatz in der Schweiz erforderlich?

Das neue SCC umfasst vier Module, die unterschiedliche Datenexportszenarien darstellen:

• Einheit 1: So exportieren Sie Daten von Konsole zu Konsole
• Einheit 2: Um Daten vom Verantwortlichen an den Auftragsverarbeiter zu exportieren
• Einheit 3: So exportieren Sie Daten von Prozessor zu Prozessor
• Einheit 4: Um Daten vom Auftragsverarbeiter an den Verantwortlichen zu exportieren

In einem ersten Schritt muss das schweizerische Datenunternehmen nun im Einzelfall die geeignete Stelle identifizieren und dann analysieren, ob die wahrgenommene Datenübermittlung: (i) nur DSG oder (ii) sowohl DSG als auch DSGVO unterliegt. Der Datenexporteur sollte weiterhin folgende (geringfügige) Anpassungen am neuen SCC vornehmen:

• Das SCC muss den Datenschutz für juristische Personen bis zum Inkrafttreten des revidierten schweizerischen Bundesgesetzes über den Datenschutz (das «revidierte DSG») einbeziehen (voraussichtlich am 1. Januar 2023, wie vom EDÖB in seinem Schreiben vom 27. August 2021 angegeben). ).
• Der Begriff „Mitgliedstaat“ des SCC sollte die Schweiz entsprechend einschließen oder ersetzen, beispielsweise durch das Wort „Gerichtsstand“, um sicherzustellen, dass schweizerische betroffene Personen ihre Rechte in der Schweiz geltend machen können.
• Verweise auf die DSGVO sind als Verweise auf das DSG (sofern nur das DSG gilt) oder auf das DSG zu verstehen, sofern es sich bei Datenexporten um auch nach dem DSG geschützte personenbezogene Daten handelt (sofern sowohl DSG als auch DSGVO gelten).
• Der EDÖB ist die ausschliessliche Aufsichtsbehörde (sofern nur DSG gilt) oder zuständig für die Überwachung von Datenexporten nach DSG (sofern sowohl DSG als auch DSGVO gelten).

Darüber hinaus müssen die Bestimmungen des SCC zu anwendbarem Recht und Gerichtsstand angepasst werden (wie dies geschieht, hängt davon ab, ob es sich um eine reine DSG-Anwendung oder um die DSGVO handelt).

Brauchen Schweizer Unternehmen ein Transfer Impact Assessment (TIA)?

Ja, der EDÖB stellt in seinem Schreiben vom 27. August 2021 fest, dass Schweizer Unternehmen im Einzelfall prüfen müssen, ob die Vertragsklauseln tatsächlich geeignet sind, einen angemessenen Schutz der übermittelten personenbezogenen Daten zu gewährleisten oder ob ergänzende Massnahmen erforderlich sind zusätzlich zum SCC.

wie beschrieben in Juni 2021 EDÖB-Leitfaden zur Prüfung der Zulässigkeit direkter oder indirekter Datenübermittlungen ins Ausland, muss die Datenquelle von Fall zu Fall beurteilen, ob die Gesetze des Empfangslandes über den legalen Zugang zu Daten durch ausländische Behörden (z. B. für Zwecke der nationalen Sicherheit oder strafrechtlichen Ermittlungen) und die Rechte der betroffenen Person vereinbar sind mit schweizerischem Datenschutzrecht und schweizerischen Verfassungsgrundsätzen. Um vereinbar zu sein, muss ausländisches Recht insbesondere die folgenden vier Garantien bieten: (1) eine eindeutige Rechtsgrundlage für den legalen Zugang zu Daten, (2) die Befugnisse und Maßnahmen der Behörden müssen angemessen und erforderlich sein, um die rechtlichen Zwecke ihrer (3) sie müssen den betroffenen Personen in der Schweiz wirksame Rechtsbehelfe zur Durchsetzung ihrer Rechte auf Privatsphäre (z .

Kommt die Datenquelle zu dem Schluss, dass das Drittland diese vier Garantien bietet, kann der SCC abgeschlossen werden und bietet ein angemessenes Datenschutzniveau. Andernfalls muss der Datenexporteur zusätzliche Maßnahmen treffen, um einen angemessenen Schutz der übermittelten Daten zu gewährleisten. Diese können vertraglicher, technischer oder regulatorischer Art sein (Siehe unser Briefing vom Juni 2021).

Gibt es Alternativen zum Ersetzen des alten SCC durch das neue SCC?

SCC ist nur eine Möglichkeit, angemessene Garantien für die Übermittlung personenbezogener Daten in Länder bereitzustellen, die kein angemessenes Datenschutzniveau haben. Andere Optionen, die Schweizer Unternehmen in Betracht ziehen, sind verbindliche Unternehmensregeln („BCRs“) für interne Massendatentransfers oder individuelle Vertragsklauseln. Diese erfordern jedoch, dass jeder Fall vom EDÖB geprüft und genehmigt wird und sind daher aufwändiger. Darüber hinaus müssen Schweizer Unternehmen, die personenbezogene Daten ins Ausland übermitteln, um ihre vertraglichen Verpflichtungen gegenüber ihren Kunden zu erfüllen, für solche Übermittlungen kein SCC unterzeichnen oder eine BCR durchführen (z. B. teilt ein Reisebüro den Namen und die Kontaktdaten des Kunden mit das vom Kunden gebuchte Hotel).

In der Praxis erwarten wir nach wie vor, dass das neue SCC die relevanteste Grundlage für den grenzüberschreitenden Datentransfer aus der Schweiz in Drittstaaten ohne angemessenes Datenschutzniveau ist.

Benötigt die neue SCC-Nutzung noch eine EDÖB-Notifikation?

Für das Inkrafttreten des revidierten DSG müssen dem EDÖB noch Datenübermittlungen nach dem neuen DSG gemeldet werden. Gleiches gilt, wenn sich die Parteien entscheiden, bis zum 27. September 2021 in das alte SCC einzutreten. Bei Verwendung des neuen oder des alten SCC genügt jedoch eine einfache Anzeige an den EDÖB und keine Einzelfallprüfung des EDÖB erforderlich. Obwohl diese Frage in der Mitteilung des EDÖB vom 27. August 2021 nicht explizit angesprochen wurde, wird Schweizer Unternehmen, die dem EDÖB bisher über das alte SCC gemeldet haben, empfohlen, sich nach der Umsetzung des neuen SCC erneut beim EDÖB zu melden.

Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zum Thema bieten. Es wird empfohlen, in solchen Fällen den Rat von Spezialisten einzuholen.