Die Artikel-29-Datenschutzgruppe hat ein auf den 28. November 2017 datiertes Arbeitspapier (Working Paper 254) veröffentlicht, das sich zu den Kriterien der Angemessenheitsprüfung i.S.v. Art. 45 DSGVO äussert. Es ersetzt das Working Paper 12 “Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive” von 1998.
Der Masstab der Angemessenheit wird von der Charta der Grundrechte, der DSGVO und der ERK 108 vorgegeben:
The ‘core’ of data protection ‘content’ principles and ‘procedural/enforcement’ requirements, which could be seen as a minimum requirement for protection to be adequate, are derived from the EU Charter of Fundamental Rights and the GDPR. In addition, consideration should also be given to other international agreements on data protection, e.g. Convention 108.
Das 2. Kapitel des WP 254 äussert sich zum Verfahren des Angemessenheitsbeschlusses, das 3. Kapitel näher zu den dabei zu prüfenden Kriterien. Daraus wird – in Übereinstimmug mit dem Schrems-Urteil – deutlich, dass die Angemessenheit an Grundsätzen zu messen ist, nicht an Einzelheiten des nationalen Rechts. Die Sorge um die Angemessenheit des revidierten schweizerischen DSG ist daher unbegründet.
Inhaltliche Kriterien
Konzeptionelle Grundlagen: Es müssen die grundlegenden Konzepte (Personendaten, Datenverarbeitung, Controller, Processor, Datenempfänger, sensitive Daten) vorhanden sein.
Grundsätze der Datenverarbeitung: Das anwendbare Recht muss die Grundsätze der Datenverarbeitung vorgeben. Mit Blick auf das schweizerische Recht ist die Vorgabe der Rechtmässigkeit interessant:
The legitimate bases, under which personal data may be lawfully, fairly and legitimately processed should be set out in a sufficiently clear manner. The European framework acknowledges several such legitimate grounds including for example, provisions in national law, the consent of the data subject, performance of a contract or legitimate interest of the data controller or of a third party which does not override the interests of the individual.
Damit dürfte das schweizerische Recht übereinstimmen. Solche “Legitimate grounds” werden zwar nicht für jede Datenbearbeitung verlangt, im Ergebnis aber für sehr viele und sicher für alle kritischen Bearbeitungen; dass das schweizerische Recht den Rechtmässigkeitsgrundsatz kennt und wirksam umsetzt, sollte daher nicht fraglich sein.
Betroffenenrechte: Das anwendbare Recht muss betroffenen Personen Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch einräumen.
Onward Transfer: Das anwendbare Recht ist nur angemessen, wenn es die Weiterleitung von Daten (“onward transfer”) unter die Voraussetzung stellt, dass die Daten im Empfängerstaat durch das dortige Recht oder vertragliche Vereinbarungen wiederum angemessen geschützt sind (wobei klar ist, dass punktuelle Ausnahmen bspw. für die Weiterleitung mit Einwilligung der betroffenen Personen erlaubt bleiben).
Besondere Regeln: Im bestimmten Fällen muss das anwendbare Recht besondere Anforderungen vorsehen. Das gilt für sensitive Daten, das Widerspruchsrecht bei Direktmarketing und automatisierte Einzelentscheidungen.
Rechtsdurchsetzung
Aufsichtsbehörden: Die Einhaltung des Datenschutzrechts muss von einer oder mehreren unabhägigen Aufsichtsbehörden geprüft und durchgesetzt werden.
The supervisory authority shall act with complete independence and impartiality in performing its duties and exercising its powers and in doing so shall neither seek nor accept instructions. In that context, the supervisory authority should have all the necessary and available powers and missions to ensure compliance with data protection rights and promote awareness. Consideration should also be given to the staff and budget of the supervisory authority. The supervisory authority shall also be able, on its own initiative, to conduct investigations.
Durchsetzung: Das anwendbare Recht muss die Durchsetzung sichern. Dazu gehören auch effektive und abschreckende Sanktionen, wobei keine Vorgaben für die konkrete Ausgestaltung des Sanktionssystems bestehen:
The existence of effective and dissuasive sanctions can play an important role in ensuring respect for rules, as of course can systems of direct verification by authorities, auditors, or independent data protection officials.
Accountability: Das anwendbare Recht muss die Verantwortlichen “und/oder” die Auftragsverarbeiter dazu verpflichten, die Einhaltung des Datenschutzrechts nachweisen zu können:
Such measures may include for example data protection impact assessments, the keeping of records or log files of data processing activities for an appropriate period of time, the designation of a data protection officer or data protection by design and by default.
Rechtsschutz: Die betroffenen Personen müssen Rechtsschutz in Anspruch nehmen und Schadenersatz verlangen können (wobei die Art des ersatzfähigen Schadens nicht umschrieben ist; es ist also nicht notwendig, wie die DSGVO auch für immaterielle “Schäden” Ersatz vorzusehen).