Takea­ways (AI):
  • Der EDÖB hat sei­ne „Anlei­tung für die Prü­fung der Zuläs­sig­keit von Daten­über­mitt­lun­gen“ aktua­li­siert.
  • Expor­teu­ren wird auf­er­legt, Gesamt­ver­ant­wor­tung für den Daten­schutz trotz Staa­ten­li­ste zu übernehmen.
  • Fehlt ein Land auf der Staa­ten­li­ste, kön­nen Expor­teu­re selbst ange­mes­se­nen Schutz prüfen.
  • Ein rele­van­tes Trans­fer Impact Assess­ment ist erfor­der­lich, um Sicher­heits­män­gel zu iden­ti­fi­zie­ren und zu beheben.

Der EDÖB hat sei­ne „Anlei­tung für die Prü­fung der Zuläs­sig­keit von Daten­über­mitt­lun­gen mit Aus­land­be­zug (nach Art. 6 Abs. 2 lit. a DSG)“ mit Datum vom 18. Juni 2021 neu veröffentlicht:

Die Anlei­tung besteht aus einem Prüf­sche­ma, Erläu­te­run­gen zu den ein­zel­nen Prüf­schrit­ten und einem Anhang. Kern der Anlei­tung ist die Fest­stel­lung, dass sich der Art. 6 DSG unter­ste­hen­de Expor­teur auf nichts blind ver­las­sen darf, was ihm letzt­lich die Gesamt­ver­ant­wor­tung auf­er­legt, trotz der Staa­ten­li­ste des EDÖB und der Tat­sa­che, dass er die (bis­her nur die gel­ten­den) SCC aner­kannt hat:

  • Figu­riert ein Staat auf der Staa­ten­li­ste des EDÖB, darf sich der Expor­teur zwar grund­sätz­lich dar­auf ver­las­sen, dass der Impor­teur einem ange­mes­se­nen Daten­schutz­re­gime unter­steht. In die­sem Fall müs­se der Expor­teur die kon­kre­te Über­mitt­lung auch nicht detail­liert erfas­sen. Aber : 
    • Hat der Expor­teur Anhalts­punk­te, dass die­ser Schutz im Ein­zel­fall nicht besteht, d.h. nicht greift, muss er den­noch die SCC abschlie­ssen (soweit er kei­ne ande­ren ange­mes­se­nen Garan­tien ver­wen­det und kei­ne Aus­nah­me anwend­bar ist), und hier wird die vom EDÖB ver­lang­te detail­lier­te Erfas­sung den­noch not­wen­dig werden.
    • Der Expor­teur müs­se zudem peri­odisch über­prü­fen, ob die Ange­mes­sen­heit nach wie vor gel­te. Er müs­se sich auch infor­mie­ren, ob ande­re Grün­de gegen eine „siche­re Bear­bei­tung im Ziel­land“ spre­chen. Offen­bar ist das für den EDÖB nicht nur eine Reak­ti­ons­pflicht, son­dern eine Pflicht zur akti­ven Abklä­rung. Das müss­te dann aber auch initi­al gel­ten – der Expor­teur darf sich nach der Logik des EDÖB also auch initi­al nicht dar­auf ver­las­sen, dass der vom EDÖB fest­ge­stell­te ange­mes­se­ne Schutz wirk­lich greift.
  • Fehlt ein Land auf der Staa­ten­li­ste, heisst dies nicht per se, dass kein ange­mes­se­ner Schutz besteht. Der Expor­teur kann viel­mehr selbst prü­fen und zum Ergeb­nis kom­men, der durch das anwend­ba­re Recht ver­mit­tel­te Schutz sei angemessen.
  • Wenn ein Land auf der Staa­ten­li­ste fehlt oder wenn dort als ange­mes­sen erfasst ist, der Schutz im kon­kre­ten Fall aber nicht greift, muss der Expor­teur den Export detail­liert erfas­sen (u.a. Zweck, betei­lig­te Auf­trags­be­ar­bei­ter und Unter­auf­trags­be­ar­bei­ter und auf die­se anwend­ba­res Recht).
  • Sodann ist in die­sen Fäl­len zu prü­fen, ob vier Garan­tien ein­ge­hal­ten werden: 
    • Lega­li­täts­prin­zip: Beschrän­kung der Befug­nis­se der loka­len Behör­den durch hin­rei­chend bestimm­te und kla­re Rechtsgrundlagen;
    • Ver­hält­nis­mä­ssig­keit der Befug­nis­se und Massnahmen;
    • Rechts­mit­tel: Betrof­fe­ne in der Schweiz müs­sen wirk­sa­me gesetz­lich ver­an­ker­te Rechts­be­hel­fe für die Durch­set­zung ihrer Rech­te haben;
    • Rechts­weg­ga­ran­tie und Zugang zu einem unab­hän­gi­gen und unpar­tei­ischen Gericht.
  • Erfüllt das Recht des Import­staats die­se Garan­tien, genü­gen die Stan­dard­ver­trags­klau­seln. Den­noch blei­be zu berück­sich­ti­gen, ob sich „even­tu­ell“ wei­te­re ver­trag­li­che Schutz­mass­nah­men „auf­drän­gen“. Was damit gemeint ist und wann sich sol­che Mass­nah­men even­tu­ell auf­drän­gen, wird nicht erläutert.
  • Erfüllt das loka­le Recht die genann­ten Garan­tien nicht, muss der Expor­teur wei­te­re ver­trag­li­che und/oder tech­ni­sche Schutz­mass­nah­men tref­fen. Kann durch sol­che Mass­nah­men der feh­len­de Schutz nicht aus­ge­gli­chen wer­den, ist die Bekannt­ga­be unzulässig.

Der EDÖB ver­la­gert mög­lichst viel der Ver­ant­wor­tung auf die Expor­teu­re, ent­spre­chend der Hal­tung der euro­päi­schen Behör­den. Im Ergeb­nis sagt er, dass in der Schweiz kon­zep­tio­nell die glei­chen Regeln wie in der EU gel­ten und der Expor­teur ein Trans­fer Impact Assess­ment durch­zu­füh­ren hat, wie dies nun auch die neu­en SCC vorsehen.

Wie ein sol­ches TIA aus­se­hen kann, illu­striert er durch einen auf das Recht der USA zuge­schnit­te­nen Fra­gen­ka­ta­log im Anhang. Im wesent­li­chen geht es dar­um, ob durch den Trans­fer ein Zugriffs­recht der US-Behör­den ausser­halb der Rechts- und Amts­hil­fe eröff­net wird, gestützt auf natio­na­les Recht. Der EDÖB lehnt sich dabei eng an ent­spre­chen­de Fra­ge­bö­gen von noyb an, dem NGO von Max Schrems, das der­zeit mit der Akti­on gegen Coo­kie-Ban­ner von sich reden macht.

AI-generierte Takeaways können falsch sein.