Ein Beitrag von Lena Götzinger und Hannes Meyle
Seit dem 27. September 2021 sind für den Transfer von personenbezogenen Daten in Länder ausserhalb des EWR, welche aus Sicht der DSGVO kein angemessenes Datenschutzniveau bieten, grundsätzlich die mit Datum vom 4. Juni 2021 veröffentlichten «neuen» Standardvertragsklauseln («SCC») einzusetzen. Eine Übergangsfrist für die Weiterverwendung der «alten» SCC besteht lediglich für vorher geschlossene Verträge, unter der Bedingung, dass sich die Bearbeitung, die Gegenstand des Vertrags ist, nicht ändert (wir berichteten).
Gleiches gilt für Transfers von Personendaten aus der Schweiz in Länder ohne angemessenes Datenschutzniveau (nota bene: Die Übergangsfrist ist in der Schweiz etwas länger). Der EDÖB hat die SCC inzwischen – vorbehaltlich eines «Swiss Finish» (Details hier, sowie unten) – als hinreichende Garantien gem. Art. 6 Abs. 2 lit. a DSG anerkannt.
Vor diesem Hintergrund haben viele der grossen (Cloud-)Anbieter inzwischen die neuen SCC in ihre Vertragsdokumente implementiert.
Die Modelle von Google, Microsoft und Salesforce
- Google Cloud: Bei Kunden von Google Cloud Services, die sich im EWR oder der Schweiz befinden (und gegenüber Google eine entsprechende Rechnungsadresse angegeben haben), agiert eine Google-Gesellschaft, die ebenfalls im EWR oder der Schweiz ansässig ist («Google Europa»), als Vertragspartner. Transfers von Personendaten zwischen dem Kunden und Google Europa finden also zwischen Ländern mit angemessenem Datenschutzniveau statt und bedürfen keiner Absicherung durch SCC. Ein Zugriff auf die Personendaten kann jedoch abhängig von den im Einzelnen gewählten Produkten auch von ausserhalb des EWR bzw. der Schweiz erfolgen, z.B. durch die US-Gesellschaft Google Inc. Für solche «onward transfers» in Länder ohne angemessenes Datenschutzniveau geht Google Europa mit den entsprechenden Datenempfängern das Modul 3 der neuen SCC ein. Dieses Modul deckt die Situation zwischen einem Auftragsverarbeiter als Datenexporteur (hier: Google Europa) und seinem Unterauftragsverarbeiter als Datenimporteur (hier: z.B. Google Inc.) ab. Die konkret von Google vereinbarten SCC sind auf der Website von Google abrufbar. Der vorgelagerte Datentransfer von Kunden an Google Europa wird von den Data Processing Terms abgedeckt.
Dabei ist ausdrücklich auch der Fall erfasst, dass der Kunde als Verantwortlicher in der Schweiz ansässig ist (vgl. die Definition von «Adequate Country», «supervisory authority» und «European Data Protection Law»). Seine Herangehensweise an die Umsetzung der neuen SCCs erläutert Google näher in diesem Whitepaper.
- Microsoft: Für Kunden von Microsoft-Produkten und ‑Services aus dem EWR oder der Schweiz ist Vertragspartner in der Regel die irische Microsoft-Gesellschaft, Microsoft Ireland Operations Limited («MIOL»). Unter Umständen setzt Microsoft die US-amerikanische Microsoft Corporation als Unterauftragsverarbeiter ein. Für die Umsetzung der neuen SCC wählt Microsoft deshalb einen ähnlichen Weg wie Google, indem MIOL mit der Microsoft Corporation das Modul 3 der neuen SCC abschliesst (vgl. das Data Protection Addendum). Kunden in der Schweiz sollten sicherstellen, dass das – nur für Kunden zugängliche – Amendment ID M329 («Amendment for Switzerland regarding Microsoft Products and Services Data Protection Addendum») einbezogen ist. Nur dann ist vertraglich abgesichert, dass die neuen SCC (statt (auch) der «alten» SCC aus dem Jahr 2010) Anwendung finden.
Seine Herangehensweise an die Umsetzung der neuen SCCs erläutert Microsoft näher in einem Blogpost.
- Salesforce: Salesforce-Kunden aus dem EWR und der Schweiz schliessen in der Regel ihre Verträge mit der irischen Tochtergesellschaft «Salesforce Irland» ab. Je nachdem, welche Produkte bezogen werden, können dabei Datenübermittlungen an die US-amerikanische salesforce.com, Inc. («Salesforce Inc.»), beziehungsweise Zugriffe ausgehend von Salesforce Inc. erfolgen. Salesforce geht jedoch einen anderen Weg als Google und Microsoft: Nach dem neuen Data Processing Addendum («DPA») werden die SCC unmittelbar zwischen dem Kunden und Salesforce Inc. vereinbart. Gegenüber Kunden, die datenschutzrechtlich Verantwortliche sind, bietet Salesforce konsequenterweise Modul 2 der neuen SCC an. Primär wurde Modul 2 für den Abschluss zwischen Verantwortlichem und Auftragsbearbeiter entwickelt. Die Verwendung im Verhältnis zwischen Verantwortlichem und Unterauftragsbearbeiter ist gleichwohl nicht unzulässig und entspricht der Praxis unter den alten SCC.
Vergleich zur Situation vor Anwendung der neuen SCC
Modul 3 der neuen SCC ermöglicht es den Anbietern, die SCC in dem vertraglichen Verhältnis einzusetzen, in welchem der relevante und durch SCC abzusichernde Datentransfer stattfindet. Unter den «alten» SCC, die strenggenommen nur die Konstellation EWR-Verantwortlicher als Datenexporteur und Drittland-Auftragsverarbeiter als Datenimporteur (und nicht das Verhältnis zwischen Auftragsbearbeitern und Unter-Auftragsbearbeitern) abdeckten, wurden die SCC deshalb teilweise direkt zwischen Verantwortlichem und Unterauftragsverarbeiter abgeschlossen, wie es auch heute noch von Salesforce gehandhabt wird.
Als Folge des Schrems II-Urteils des Europäischen Gerichtshofs («EuGH») mussten sich sodann viele Verantwortliche mit der Frage auseinandersetzen, ob (insbesondere unter Berücksichtigung der Frage, wie wahrscheinlich der Zugriff von Behörden im Empfängerland auf die übermittelten Daten ist) zu diesen «alten» SCC zusätzlich vertragliche, technische und/oder organisatorische Massnahmen zu treffen sind, um für ein angemessenes Datenschutzniveau zu sorgen («Transfer Impact Assessment» oder kurz «TIA»).
Die Erwägungen des EuGH, dass ein generischer Einsatz von SCC abhängig vom lokalen Recht im Empfängerland möglicherweise nicht genügt, finden deshalb in den neuen SCC ihren Niederschlag. In Klausel 14 ist eine Zusicherung der Vertragsparteien der SCC vorgesehen, dass diese keinen Grund zur Annahme haben, dass das lokale Recht im Empfängerland (und die dortige Rechtspraxis) den Datenimporteur an der Erfüllung seiner Pflichten unter den SCC hindert. Diese Zusicherung setzt ein TIA der Parteien voraus.
Konsequenzen für Verantwortliche im EWR und in der Schweiz: Transfer Impact Assessment?
Werden die SCC zwischen CH/EWR-Auftragsverarbeiter und Drittland-Unterauftragsverarbeiter geschlossen (und ist der Verantwortliche folglich nicht Partei der SCC), stellt sich die Frage, ob der Verantwortliche darauf vertrauen kann, dass sein Auftragsverarbeiter ein TIA durchführt und erforderlichenfalls zusätzliche Massnahmen ergreift. Oder bleibt der Verantwortliche auch in diesen Fällen selbst zur Prüfung verpflichtet?
Auszugehen bei der Beantwortung dieser Frage ist von den datenschutzrechtlichen Grundsätzen. Durch die Übermittlung von Personendaten ins Ausland soll der Schutz von Personendaten nicht abgesenkt werden. Normadressaten der Vorschriften betreffend die Übermittlung von Personendaten ins Ausland sind deshalb Verantwortliche und Auftragsverarbeiter (Art. 44 ff. DSGVO, Art. 6 DSG).
Die Pflicht, geeignete Garantien vorzusehen für den Fall, dass das Empfängerland kein angemessenes Datenschutzniveau bietet, trifft aber den Datenexporteur (Art. 46 Abs. 1 DSGVO und Art. 6 DSG). Dies spricht prima facie dafür, dass den Verantwortlichen bei einem «onward transfer» zwischen seinem Auftragsverarbeiter und dessen Unterauftragsbearbeiter keine Prüfpflichten treffen.
Eine solche Sicht greift jedoch zu kurz. Art. 6 DSG bzw. Art. 46 Abs. 1 DSGVO entbinden nicht davon, die übrigen datenschutzrechtlichen Bestimmungen einzuhalten. Dazu zählt die Pflicht, sicherzustellen, dass der Auftragsbearbeiter die Personendaten nur so verarbeitet, wie der Verantwortliche selbst es dürfte (Art. 10a DSG; Art. 28 DSGVO). Bei einer Delegation von Aufgaben an den Auftragsbearbeiter hat der Verantwortliche diesen deshalb sorgfältig auszuwählen und durch Instruktionen und Überprüfung dafür zu sorgen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden. Andernfalls könnte sich der Delegierende seiner gesetzlichen Pflichten über eine Delegation einfach entledigen.
Vom Verantwortlichen ein umfangreiches Transfer Impact Assessment im Fall eines «onward transfers» des Auftragsbearbeiters in ein unsicheres Drittland zu verlangen, wäre deshalb zu weitgehend. Angemessen instruieren und überprüfen mit Blick auf die Einhaltung des Datenschutzes kann der Verantwortliche den Auftragsbearbeiter jedoch nur, wenn er einen Überblick über die Datenflüsse hat. Zudem weiss nur der Verantwortliche, welche Personendaten im Einzelnen übermittelt werden, zu welchen Zwecken diese bearbeitet werden, und ob sich aus dem Zusammenhang der Bearbeitung besondere Risiken ergeben. Die Beurteilung des datenschutzrechtlichen Risikos im konkreten Fall darf der Verantwortliche daher nicht ausschliesslich dem Auftragsbearbeiter überlassen.
Entsprechend sollten sich Verantwortliche auch bei nachgelagerten Weiterübermittlungen von Personendaten um die Einhaltung des Datenschutzes bemühen. ie folgenden Schritte können als Anhaltspunkte für ein «Best Practice»-Vorgehen dienen:
- Nachvollziehen der Datenflüsse und Prüfung, welche Unterauftragsbearbeiter Zugriff auf die Personendaten haben;
- Evaluierung, welche vertraglichen oder sonstigen Garantien zwischen dem EWR/CH-Auftragsbearbeiter und Empfängern in unsicheren Drittländern bestehen;
- Prüfung der datenschutzrechtlichen Risiken ausgehend von den tatsächlichen Verhältnissen (z.B. Übermittlung von sensiblen Gesundheitsdaten oder investigativen Inhalten, bekannte Zugriffe von Behörden auf bestimmte Anbieter);
- Prüfung, ob allfällige Risiken durch zusätzliche, vom Anbieter zur Verfügung gestellte optionale technische Massnahmen minimiert werden können («enhanced customer controls», die nicht schon voreingestellt sind) oder ob weitere technische/organisatorische Massnahmen zu ergreifen sind;
- Dokumentation entsprechender Erwägungen und Nachprüfung der Risikobeurteilung in regelmässigen Abständen.
Speziell für Schweizer Verantwortliche: Müssen die SCC mit einem «Swiss Finish» versehen werden?
Wenn ein Verantwortlicher den obigen «Best Practice» Empfehlungen folgt und vertragliche oder sonstige Garantien zwischen Auftragsbearbeitern und Unterauftragsbearbeitern prüft, stellt sich die Frage, ob diese SCC mit einem «Swiss Finish» versehen werden müssen, d.h. mit Anpassungen, welche das schweizerische Datenschutzrecht berücksichtigen.
Der EDÖB hat hierzu eine klare Haltung. Er hat in seinem Arbeitspapier vom 27. August 2021 die SCC nur unter der Voraussetzung anerkannt, dass «die für eine Verwendung unter Schweizer Datenschutzrecht notwendigen Anpassungen und Ergänzungen vorgenommen werden» (wir berichteten). Für «notwendig» in diesem Sinne erachtet der EDÖB z.B. die Klarstellung, dass der Begriff «Mitgliedstaat» die Schweiz (mit)meine.
Nach hier vertretener Ansicht sind die vom EDÖB vorgeschlagenen Anpassungen strenggenommen nicht «notwendig» (im Sinne von rechtlich zwingend), da sich die entsprechenden Inhalte bereits aus gesetzlichen und vertraglichen Grundsätzen ergeben:
- Laut dem Arbeitspapier ist als «Zuständige Aufsichtsbehörde in Anhang I.C gemäss Klausel 13» der SCC (zumindest auch) der EDÖB anzugebe Die Zuständigkeit des EDÖB kann jedoch, im Gegensatz zu einer Gerichtsstandsvereinbarung, nicht vertraglich begründet werden. Vielmehr richten sich die örtliche Zuständigkeit und die Befugnisse des EDÖB aufgrund des Legalitätsprinzips nach dem DSG. Unter dem geltenden DSG kann der EDÖB die Aufsicht nur über solche Sachverhalte ausüben, die sich in der Schweiz ereignen. Bezogen auf Datenübermittlungen ins Ausland (Art. 6 DSG) erstreckt sich die Aufsicht des EDÖB grundsätzlich nur auf Datenübermittlungen aus der Schweiz heraus. Bei «onward transfers» (z.B. eines EU-Auftragsbearbeiters an einen US-Unterauftragsbearbeiter) könnte der EDÖB allenfalls (unter jetzigem DSG beschränkte) Massnahmen gegen einen in der Schweiz ansässigen Verantwortlichen durchführen (vgl. Art. 29 Abs. 1 lit. c DSG und Art. 31 Abs. 1 lit. e DSG). Unter altem Recht ist eine Anpassung von Anhang I.C deshalb überschiessend, unter revidiertem Recht demgegenüber obsolet: Das revDSG ist auf alle Sachverhalte anwendbar, die sich in der Schweiz auswirken (Art. 3 revDSG) und die Aufsicht des EDÖB erstreckt sich auf alle datenschutzrechtlichen Verstösse (Art. 49 Abs. 1 revDSG). So oder so ist die Ergänzung des EDÖB als Aufsichtsbehörde daher nicht rechtlich zwingend. Sie könnte – aus Sicht des EDÖB – aber Erleichterungen bringen, wenn man Klausel 13(b) der SCC als Bestimmung im Sinne eines echten Vertrags zugunsten Dritter versteht. Dann könnte der EDÖB gestützt auf die vertragliche Abrede der Parteien unmittelbar gegen den Datenimporteur vorgehen, statt den Amts- und Rechtshilfeweg beschreiten zu müssen.
- Nach den Vorgaben des EDÖB sind die SCC weiter mit einem Anhang zu ergänzen, wonach die DSGVO-Verweise als solche auf das DSG zu verstehen sind (soweit die Datenübermittlungen dem DSG unterstellt sind) und «der Begriff ‘Mitgliedstaat’ nicht so ausgelegt werden darf, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäss Klausel 18 c einzuklagen».
Wenn jedoch die SCC verwendet werden um (auch) Datentransfers nach dem DSG abzusichern und Rechte betroffener Personen in der Schweiz zu schützen, käme man auch ohne diese ausdrückliche Klarstellung zum selben Dies setzt aber selbstverständlich voraus, dass die schweizerischen Datenübermittlungen in Annex I.B der SCC auch abgebildet sind. - Als anwendbares Recht ist aus Sicht des EDÖB entweder «Schweizer Recht oder das Recht eines Landes, das Rechte als Drittbegünstigte zulässt und gewährt», zu wählen. Dies stellt gegenüber den unveränderten SCC schon keine Anpassung dar, da bereits Klausel 17 der SCCeine entsprechende Rechtswahl vorschreibt. Dass Klausel 17 insoweit von einem EU-Mitgliedstaat spricht, schadet nicht, da der wahre Wille der Parteien entscheidend ist.
- Schliesslich fordert der EDÖB Anpassungen, um bis zum Inkrafttreten des DSG auch den Schutz von Daten juristischer Personen mit einzubeziehen. In vielen Fällen wird sich dies kaum begründen lassen. Ausländische Rechtsordnungen enthalten vielfach Bestimmungen zum Schutz von Daten juristischer Personen, z.B. durch Geheimnisschutzbestimmungen, das Lauterkeitsrecht oder das Urheberrecht. Dass es angesichts dessen keines zusätzlichen datenschutzrechtlichen Schutzes bedarf, wird schliesslich auch durch das revDSG bestätigt, das nur noch auf Personendaten natürlicher Personen anwendbar ist.
Wenngleich die vom EDÖB vorgeschlagenen Anpassungen nicht rechtlich zwingend sind, ist es doch aus anderen Gründen empfehlenswert, sie für Übermittlungen aus der Schweiz heraus nachzuvollziehen. Der EDÖB hat die SCC nur unter dem Vorbehalt der von ihm vorgeschlagenen Anpassungen anerkannt. Werden die SCC in unveränderter Form abgeschlossen, sind sie vor ihrer Verwendung – sowohl nach DSG als auch revDSG – also dem EDÖB vorzulegen. Die vorsätzliche Verletzung dieser Pflicht ist bussgeldbewehrt (Art. 34 Abs. 2 lit. a DSG, Art. 61 lit. a revDSG).
In den eingangs dargestellten Konstellationen der Weiterübermittlung erscheint es demgegenüber nicht erforderlich, ein «Swiss Finish» auch von (Unter-)auftragsbearbeitern zu verlangen bzw. in der Vertragskette weiterzugeben. So verweist der EDÖB in seinem Arbeitspapier vom 27. August 2021 richtigerweise darauf, dass sich die SCC auf «Datenübermittlungen aus der Schweiz in ein Drittland gemäss Art. 6 Abs. 2 lit. a DSG» beziehen, ohne auf etwaige Weiterübermittlungen Bezug zu nehmen. Art. 6 Abs. 2 lit. a DSG erfasst nur unmittelbare Übermittlungen von der Schweiz in ein unsicheres Drittland. Wenn, wie in den oben dargestellten Konstellationen, Personendaten zunächst in ein sicheres und von dort in ein unsicheres Land übermittelt werden, findet das DSG nur auf den ersten Transfer Anwendung. Dieser erste Transfer ist gemäss Art. 6 Abs. 1 DSG zulässig, da der Schutz im Zielland als angemessen anerkannt ist (unstreitig wenigstens insoweit, als es um die Personendaten natürlicher Personen geht). Der Exporteur darf deswegen (im Rahmen seiner zuvor dargestellten Pflichten) darauf vertrauen, dass das Recht im Zielland auch für den Weiterexport in unsichere Drittländer die erforderlichen Massnahmen vorsieht. Dies kann auch unter den neuen SCC nicht so weit gehen, dass ein identischer Schutz verlangt ist, da anderenfalls der Praxisnutzen von Angemessenheitsbeschlüssen wieder ausgehebelt würde. Wenn Auftragsbearbeiter in den oben dargestellten Konstellationen die SCC ohne «Swiss Finish» verwenden, steht dies der Zulässigkeit des Transfers aus unserer Perspektive daher nicht entgegen.