Der EDÖB hat seine „Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug (nach Art. 6 Abs. 2 lit. a DSG)“ mit Datum vom 18. Juni 2021 neu veröffentlicht:
Die Anleitung besteht aus einem Prüfschema, Erläuterungen zu den einzelnen Prüfschritten und einem Anhang. Kern der Anleitung ist die Feststellung, dass sich der Art. 6 DSG unterstehende Exporteur auf nichts blind verlassen darf, was ihm letztlich die Gesamtverantwortung auferlegt, trotz der Staatenliste des EDÖB und der Tatsache, dass er die (bisher nur die geltenden) SCC anerkannt hat:
- Figuriert ein Staat auf der Staatenliste des EDÖB, darf sich der Exporteur zwar grundsätzlich darauf verlassen, dass der Importeur einem angemessenen Datenschutzregime untersteht. In diesem Fall müsse der Exporteur die konkrete Übermittlung auch nicht detailliert erfassen. Aber :
- Hat der Exporteur Anhaltspunkte, dass dieser Schutz im Einzelfall nicht besteht, d.h. nicht greift, muss er dennoch die SCC abschliessen (soweit er keine anderen angemessenen Garantien verwendet und keine Ausnahme anwendbar ist), und hier wird die vom EDÖB verlangte detaillierte Erfassung dennoch notwendig werden.
- Der Exporteur müsse zudem periodisch überprüfen, ob die Angemessenheit nach wie vor gelte. Er müsse sich auch informieren, ob andere Gründe gegen eine „sichere Bearbeitung im Zielland“ sprechen. Offenbar ist das für den EDÖB nicht nur eine Reaktionspflicht, sondern eine Pflicht zur aktiven Abklärung. Das müsste dann aber auch initial gelten – der Exporteur darf sich nach der Logik des EDÖB also auch initial nicht darauf verlassen, dass der vom EDÖB festgestellte angemessene Schutz wirklich greift.
- Fehlt ein Land auf der Staatenliste, heisst dies nicht per se, dass kein angemessener Schutz besteht. Der Exporteur kann vielmehr selbst prüfen und zum Ergebnis kommen, der durch das anwendbare Recht vermittelte Schutz sei angemessen.
- Wenn ein Land auf der Staatenliste fehlt oder wenn dort als angemessen erfasst ist, der Schutz im konkreten Fall aber nicht greift, muss der Exporteur den Export detailliert erfassen (u.a. Zweck, beteiligte Auftragsbearbeiter und Unterauftragsbearbeiter und auf diese anwendbares Recht).
- Sodann ist in diesen Fällen zu prüfen, ob vier Garantien eingehalten werden:
- Legalitätsprinzip: Beschränkung der Befugnisse der lokalen Behörden durch hinreichend bestimmte und klare Rechtsgrundlagen;
- Verhältnismässigkeit der Befugnisse und Massnahmen;
- Rechtsmittel: Betroffene in der Schweiz müssen wirksame gesetzlich verankerte Rechtsbehelfe für die Durchsetzung ihrer Rechte haben;
- Rechtsweggarantie und Zugang zu einem unabhängigen und unparteiischen Gericht.
- Erfüllt das Recht des Importstaats diese Garantien, genügen die Standardvertragsklauseln. Dennoch bleibe zu berücksichtigen, ob sich „eventuell“ weitere vertragliche Schutzmassnahmen „aufdrängen“. Was damit gemeint ist und wann sich solche Massnahmen eventuell aufdrängen, wird nicht erläutert.
- Erfüllt das lokale Recht die genannten Garantien nicht, muss der Exporteur weitere vertragliche und/oder technische Schutzmassnahmen treffen. Kann durch solche Massnahmen der fehlende Schutz nicht ausgeglichen werden, ist die Bekanntgabe unzulässig.
Der EDÖB verlagert möglichst viel der Verantwortung auf die Exporteure, entsprechend der Haltung der europäischen Behörden. Im Ergebnis sagt er, dass in der Schweiz konzeptionell die gleichen Regeln wie in der EU gelten und der Exporteur ein Transfer Impact Assessment durchzuführen hat, wie dies nun auch die neuen SCC vorsehen.
Wie ein solches TIA aussehen kann, illustriert er durch einen auf das Recht der USA zugeschnittenen Fragenkatalog im Anhang. Im wesentlichen geht es darum, ob durch den Transfer ein Zugriffsrecht der US-Behörden ausserhalb der Rechts- und Amtshilfe eröffnet wird, gestützt auf nationales Recht. Der EDÖB lehnt sich dabei eng an entsprechende Fragebögen von noyb an, dem NGO von Max Schrems, das derzeit mit der Aktion gegen Cookie-Banner von sich reden macht.