Wie Goog­le, Micro­soft und Sales­for­ce die neu­en SCC umset­zen und was dies für Ver­ant­wort­li­che im EWR und in der Schweiz bedeutet

Ein Bei­trag von Lena Göt­zin­ger und Han­nes Meyle


Seit dem 27. Sep­tem­ber 2021 sind für den Trans­fer von per­so­nen­be­zo­ge­nen Daten in Län­der ausser­halb des EWR, wel­che aus Sicht der DSGVO kein ange­mes­se­nes Daten­schutz­ni­veau bie­ten, grund­sätz­lich die mit Datum vom 4. Juni 2021 ver­öf­fent­lich­ten «neu­en» Stan­dard­ver­trags­klau­seln («SCC») ein­zu­set­zen. Eine Über­gangs­frist für die Wei­ter­ver­wen­dung der «alten» SCC besteht ledig­lich für vor­her geschlos­se­ne Ver­trä­ge, unter der Bedin­gung, dass sich die Bear­bei­tung, die Gegen­stand des Ver­trags ist, nicht ändert (wir berich­te­ten).

Glei­ches gilt für Trans­fers von Per­so­nen­da­ten aus der Schweiz in Län­der ohne ange­mes­se­nes Daten­schutz­ni­veau (nota bene: Die Über­gangs­frist ist in der Schweiz etwas län­ger). Der EDÖB hat die SCC inzwi­schen – vor­be­halt­lich eines «Swiss Finish» (Details hier, sowie unten) – als hin­rei­chen­de Garan­tien gem. Art. 6 Abs. 2 lit. a DSG anerkannt.

Vor die­sem Hin­ter­grund haben vie­le der gro­ssen (Cloud-)Anbieter inzwi­schen die neu­en SCC in ihre Ver­trags­do­ku­men­te implementiert.

Die Model­le von Goog­le, Micro­soft und Salesforce

  • Goog­le Cloud: Bei Kun­den von Goog­le Cloud Ser­vices, die sich im EWR oder der Schweiz befin­den (und gegen­über Goog­le eine ent­spre­chen­de Rech­nungs­adres­se ange­ge­ben haben), agiert eine Goog­le-Gesell­schaft, die eben­falls im EWR oder der Schweiz ansäs­sig ist («Goog­le Euro­pa»), als Ver­trags­part­ner. Trans­fers von Per­so­nen­da­ten zwi­schen dem Kun­den und Goog­le Euro­pa fin­den also zwi­schen Län­dern mit ange­mes­se­nem Daten­schutz­ni­veau statt und bedür­fen kei­ner Absi­che­rung durch SCC. Ein Zugriff auf die Per­so­nen­da­ten kann jedoch abhän­gig von den im Ein­zel­nen gewähl­ten Pro­duk­ten auch von ausser­halb des EWR bzw. der Schweiz erfol­gen, z.B. durch die US-Gesell­schaft Goog­le Inc. Für sol­che «onward trans­fers» in Län­der ohne ange­mes­se­nes Daten­schutz­ni­veau geht Goog­le Euro­pa mit den ent­spre­chen­den Daten­emp­fän­gern das Modul 3 der neu­en SCC ein. Die­ses Modul deckt die Situa­ti­on zwi­schen einem Auf­trags­ver­ar­bei­ter als Daten­ex­por­teur (hier: Goog­le Euro­pa) und sei­nem Unter­auf­trags­ver­ar­bei­ter als Daten­im­por­teur (hier: z.B. Goog­le Inc.) ab. Die kon­kret von Goog­le ver­ein­bar­ten SCC sind auf der Web­site von Goog­le abruf­bar. Der vor­ge­la­ger­te Daten­trans­fer von Kun­den an Goog­le Euro­pa wird von den Data Pro­ces­sing Terms abgedeckt.
    Dabei ist aus­drück­lich auch der Fall erfasst, dass der Kun­de als Ver­ant­wort­li­cher in der Schweiz ansäs­sig ist (vgl. die Defi­ni­ti­on von «Ade­qua­te Coun­try», «super­vi­so­ry aut­ho­ri­ty» und «Euro­pean Data Pro­tec­tion Law»). Sei­ne Her­an­ge­hens­wei­se an die Umset­zung der neu­en SCCs erläu­tert Goog­le näher in die­sem White­pa­per.
  • Micro­soft: Für Kun­den von Micro­soft-Pro­duk­ten und ‑Ser­vices aus dem EWR oder der Schweiz ist Ver­trags­part­ner in der Regel die iri­sche Micro­soft-Gesell­schaft, Micro­soft Ire­land Ope­ra­ti­ons Limi­ted («MIOL»). Unter Umstän­den setzt Micro­soft die US-ame­ri­ka­ni­sche Micro­soft Cor­po­ra­ti­on als Unter­auf­trags­ver­ar­bei­ter ein. Für die Umset­zung der neu­en SCC wählt Micro­soft des­halb einen ähn­li­chen Weg wie Goog­le, indem MIOL mit der Micro­soft Cor­po­ra­ti­on das Modul 3 der neu­en SCC abschliesst (vgl. das Data Pro­tec­tion Adden­dum). Kun­den in der Schweiz soll­ten sicher­stel­len, dass das – nur für Kun­den zugäng­li­che – Amend­ment ID M329 («Amend­ment for Switz­er­land regar­ding Micro­soft Pro­ducts and Ser­vices Data Pro­tec­tion Adden­dum») ein­be­zo­gen ist. Nur dann ist ver­trag­lich abge­si­chert, dass die neu­en SCC (statt (auch) der «alten» SCC aus dem Jahr 2010) Anwen­dung finden.
    Sei­ne Her­an­ge­hens­wei­se an die Umset­zung der neu­en SCCs erläu­tert Micro­soft näher in einem Blog­post.
  • Sales­for­ce: Sales­for­ce-Kun­den aus dem EWR und der Schweiz schlie­ssen in der Regel ihre Ver­trä­ge mit der iri­schen Toch­ter­ge­sell­schaft «Sales­for­ce Irland» ab. Je nach­dem, wel­che Pro­duk­te bezo­gen wer­den, kön­nen dabei Daten­über­mitt­lun­gen an die US-ame­ri­ka­ni­sche salesforce.com, Inc. («Sales­for­ce Inc.»), bezie­hungs­wei­se Zugrif­fe aus­ge­hend von Sales­for­ce Inc. erfol­gen. Sales­for­ce geht jedoch einen ande­ren Weg als Goog­le und Micro­soft: Nach dem neu­en Data Pro­ces­sing Adden­dum («DPA») wer­den die SCC unmit­tel­bar zwi­schen dem Kun­den und Sales­for­ce Inc. ver­ein­bart. Gegen­über Kun­den, die daten­schutz­recht­lich Ver­ant­wort­li­che sind, bie­tet Sales­for­ce kon­se­quen­ter­wei­se Modul 2 der neu­en SCC an. Pri­mär wur­de Modul 2 für den Abschluss zwi­schen Ver­ant­wort­li­chem und Auf­trags­be­ar­bei­ter ent­wickelt. Die Ver­wen­dung im Ver­hält­nis zwi­schen Ver­ant­wort­li­chem und Unterauf­trags­be­ar­bei­ter ist gleich­wohl nicht unzu­läs­sig und ent­spricht der Pra­xis unter den alten SCC.

Ver­gleich zur Situa­ti­on vor Anwen­dung der neu­en SCC

Modul 3 der neu­en SCC ermög­licht es den Anbie­tern, die SCC in dem ver­trag­li­chen Ver­hält­nis ein­zu­set­zen, in wel­chem der rele­van­te und durch SCC abzu­si­chern­de Daten­trans­fer statt­fin­det. Unter den «alten» SCC, die streng­ge­nom­men nur die Kon­stel­la­ti­on EWR-Ver­ant­wort­li­cher als Daten­ex­por­teur und Dritt­land-Auf­trags­ver­ar­bei­ter als Daten­im­por­teur (und nicht das Ver­hält­nis zwi­schen Auf­trags­be­ar­bei­tern und Unter-Auf­trags­be­ar­bei­tern) abdeck­ten, wur­den die SCC des­halb teil­wei­se direkt zwi­schen Ver­ant­wort­li­chem und Unter­auf­trags­ver­ar­bei­ter abge­schlos­sen, wie es auch heu­te noch von Sales­for­ce gehand­habt wird.

Als Fol­ge des Schrems II-Urteils des Euro­päi­schen Gerichts­hofs («EuGH») muss­ten sich sodann vie­le Ver­ant­wort­li­che mit der Fra­ge aus­ein­an­der­set­zen, ob (ins­be­son­de­re unter Berück­sich­ti­gung der Fra­ge, wie wahr­schein­lich der Zugriff von Behör­den im Emp­fän­ger­land auf die über­mit­tel­ten Daten ist) zu die­sen «alten» SCC zusätz­lich ver­trag­li­che, tech­ni­sche und/oder orga­ni­sa­to­ri­sche Mass­nah­men zu tref­fen sind, um für ein ange­mes­se­nes Daten­schutz­ni­veau zu sor­gen («Trans­fer Impact Assess­ment» oder kurz «TIA»).

Die Erwä­gun­gen des EuGH, dass ein gene­ri­scher Ein­satz von SCC abhän­gig vom loka­len Recht im Emp­fän­ger­land mög­li­cher­wei­se nicht genügt, fin­den des­halb in den neu­en SCC ihren Nie­der­schlag. In Klau­sel 14 ist eine Zusi­che­rung der Ver­trags­par­tei­en der SCC vor­ge­se­hen, dass die­se kei­nen Grund zur Annah­me haben, dass das loka­le Recht im Emp­fän­ger­land (und die dor­ti­ge Rechts­pra­xis) den Daten­im­por­teur an der Erfül­lung sei­ner Pflich­ten unter den SCC hin­dert. Die­se Zusi­che­rung setzt ein TIA der Par­tei­en voraus.

Kon­se­quen­zen für Ver­ant­wort­li­che im EWR und in der Schweiz: Trans­fer Impact Assessment?

Wer­den die SCC zwi­schen CH/E­WR-Auf­trags­ver­ar­bei­ter und Dritt­land-Unter­auf­trags­ver­ar­bei­ter geschlos­sen (und ist der Ver­ant­wort­li­che folg­lich nicht Par­tei der SCC), stellt sich die Fra­ge, ob der Ver­ant­wort­li­che dar­auf ver­trau­en kann, dass sein Auf­trags­ver­ar­bei­ter ein TIA durch­führt und erfor­der­li­chen­falls zusätz­li­che Mass­nah­men ergreift. Oder bleibt der Ver­ant­wort­li­che auch in die­sen Fäl­len selbst zur Prü­fung verpflichtet?

Aus­zu­ge­hen bei der Beant­wor­tung die­ser Fra­ge ist von den daten­schutz­recht­li­chen Grund­sät­zen. Durch die Über­mitt­lung von Per­so­nen­da­ten ins Aus­land soll der Schutz von Per­so­nen­da­ten nicht abge­senkt wer­den. Normadres­sa­ten der Vor­schrif­ten betref­fend die Über­mitt­lung von Per­so­nen­da­ten ins Aus­land sind des­halb Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter (Art. 44 ff. DSGVO, Art. 6 DSG).

Die Pflicht, geeig­ne­te Garan­tien vor­zu­se­hen für den Fall, dass das Emp­fän­ger­land kein ange­mes­se­nes Daten­schutz­ni­veau bie­tet, trifft aber den Datenexpor­teur (Art. 46 Abs. 1 DSGVO und Art. 6 DSG). Dies spricht pri­ma facie dafür, dass den Ver­ant­wort­li­chen bei einem «onward trans­fer» zwi­schen sei­nem Auf­trags­ver­ar­bei­ter und des­sen Unter­auf­trags­be­ar­bei­ter kei­ne Prüf­pflich­ten treffen.

Eine sol­che Sicht greift jedoch zu kurz. Art. 6 DSG bzw. Art. 46 Abs. 1 DSGVO ent­bin­den nicht davon, die übri­gen daten­schutz­recht­li­chen Bestim­mun­gen ein­zu­hal­ten. Dazu zählt die Pflicht, sicher­zu­stel­len, dass der Auf­trags­be­ar­bei­ter die Per­so­nen­da­ten nur so ver­ar­bei­tet, wie der Ver­ant­wort­li­che selbst es dürf­te (Art. 10a DSG; Art. 28 DSGVO). Bei einer Dele­ga­ti­on von Auf­ga­ben an den Auf­trags­be­ar­bei­ter hat der Ver­ant­wort­li­che die­sen des­halb sorg­fäl­tig aus­zu­wäh­len und durch Instruk­tio­nen und Über­prü­fung dafür zu sor­gen, dass die daten­schutz­recht­li­chen Bestim­mun­gen ein­ge­hal­ten wer­den. Andern­falls könn­te sich der Dele­gie­ren­de sei­ner gesetz­li­chen Pflich­ten über eine Dele­ga­ti­on ein­fach entledigen.

Vom Ver­ant­wort­li­chen ein umfang­rei­ches Trans­fer Impact Assess­ment im Fall eines «onward trans­fers» des Auf­trags­be­ar­bei­ters in ein unsi­che­res Dritt­land zu ver­lan­gen, wäre des­halb zu weit­ge­hend. Ange­mes­sen instru­ie­ren und über­prü­fen mit Blick auf die Ein­hal­tung des Daten­schut­zes kann der Ver­ant­wort­li­che den Auf­trags­be­ar­bei­ter jedoch nur, wenn er einen Über­blick über die Daten­flüs­se hat. Zudem weiss nur der Ver­ant­wort­li­che, wel­che Per­so­nen­da­ten im Ein­zel­nen über­mit­telt wer­den, zu wel­chen Zwecken die­se bear­bei­tet wer­den, und ob sich aus dem Zusam­men­hang der Bear­bei­tung beson­de­re Risi­ken erge­ben. Die Beur­tei­lung des daten­schutz­recht­li­chen Risi­kos im kon­kre­ten Fall darf der Ver­ant­wort­li­che daher nicht aus­schliess­lich dem Auf­trags­be­ar­bei­ter überlassen.

Ent­spre­chend soll­ten sich Ver­ant­wort­li­che auch bei nach­ge­la­ger­ten Wei­ter­über­mitt­lun­gen von Per­so­nen­da­ten um die Ein­hal­tung des Daten­schut­zes bemü­hen. ie fol­gen­den Schrit­te kön­nen als Anhalts­punk­te für ein «Best Practice»-Vorgehen dienen:

  • Nach­voll­zie­hen der Daten­flüs­se und Prü­fung, wel­che Unter­auf­trags­be­ar­bei­ter Zugriff auf die Per­so­nen­da­ten haben;
  • Eva­lu­ie­rung, wel­che ver­trag­li­chen oder son­sti­gen Garan­tien zwi­schen dem EWR/CH-Auf­trags­be­ar­bei­ter und Emp­fän­gern in unsi­che­ren Dritt­län­dern bestehen;
  • Prü­fung der daten­schutz­recht­li­chen Risi­ken aus­ge­hend von den tat­säch­li­chen Ver­hält­nis­sen (z.B. Über­mitt­lung von sen­si­blen Gesund­heits­da­ten oder inve­sti­ga­ti­ven Inhal­ten, bekann­te Zugrif­fe von Behör­den auf bestimm­te Anbieter);
  • Prü­fung, ob all­fäl­li­ge Risi­ken durch zusätz­li­che, vom Anbie­ter zur Ver­fü­gung gestell­te optio­na­le tech­ni­sche Mass­nah­men mini­miert wer­den kön­nen («enhan­ced custo­mer con­trols», die nicht schon vor­ein­ge­stellt sind) oder ob wei­te­re technische/organisatorische Mass­nah­men zu ergrei­fen sind;
  • Doku­men­ta­ti­on ent­spre­chen­der Erwä­gun­gen und Nach­prü­fung der Risi­ko­be­ur­tei­lung in regel­mä­ssi­gen Abständen.

Spe­zi­ell für Schwei­zer Ver­ant­wort­li­che: Müs­sen die SCC mit einem «Swiss Finish» ver­se­hen werden?

Wenn ein Ver­ant­wort­li­cher den obi­gen «Best Prac­ti­ce» Emp­feh­lun­gen folgt und ver­trag­li­che oder son­sti­ge Garan­tien zwi­schen Auf­trags­be­ar­bei­tern und Unter­auf­trags­be­ar­bei­tern prüft, stellt sich die Fra­ge, ob die­se SCC mit einem «Swiss Finish» ver­se­hen wer­den müs­sen, d.h. mit Anpas­sun­gen, wel­che das schwei­ze­ri­sche Daten­schutz­recht berücksichtigen.

Der EDÖB hat hier­zu eine kla­re Hal­tung. Er hat in sei­nem Arbeits­pa­pier vom 27. August 2021 die SCC nur unter der Vor­aus­set­zung aner­kannt, dass «die für eine Ver­wen­dung unter Schwei­zer Daten­schutz­recht not­wen­di­gen Anpas­sun­gen und Ergän­zun­gen vor­ge­nom­men wer­den» (wir berich­te­ten). Für «not­wen­dig» in die­sem Sin­ne erach­tet der EDÖB z.B. die Klar­stel­lung, dass der Begriff «Mit­glied­staat» die Schweiz (mit)meine.

Nach hier ver­tre­te­ner Ansicht sind die vom EDÖB vor­ge­schla­ge­nen Anpas­sun­gen streng­ge­nom­men nicht «not­wen­dig» (im Sin­ne von recht­lich zwin­gend), da sich die ent­spre­chen­den Inhal­te bereits aus gesetz­li­chen und ver­trag­li­chen Grund­sät­zen ergeben:

  • Laut dem Arbeits­pa­pier ist als «Zustän­di­ge Auf­sichts­be­hör­de in Anhang I.C gemäss Klau­sel 13» der SCC (zumin­dest auch) der EDÖB anzu­ge­be Die Zustän­dig­keit des EDÖB kann jedoch, im Gegen­satz zu einer Gerichts­stands­ver­ein­ba­rung, nicht ver­trag­lich begrün­det wer­den. Viel­mehr rich­ten sich die ört­li­che Zustän­dig­keit und die Befug­nis­se des EDÖB auf­grund des Lega­li­täts­prin­zips nach dem DSG. Unter dem gel­ten­den DSG kann der EDÖB die Auf­sicht nur über sol­che Sach­ver­hal­te aus­üben, die sich in der Schweiz ereig­nen. Bezo­gen auf Daten­über­mitt­lun­gen ins Aus­land (Art. 6 DSG) erstreckt sich die Auf­sicht des EDÖB grund­sätz­lich nur auf Daten­über­mitt­lun­gen aus der Schweiz her­aus. Bei «onward trans­fers» (z.B. eines EU-Auf­trags­be­ar­bei­ters an einen US-Unter­auf­trags­be­ar­bei­ter) könn­te der EDÖB allen­falls (unter jet­zi­gem DSG beschränk­te) Mass­nah­men gegen einen in der Schweiz ansäs­si­gen Ver­ant­wort­li­chen durch­füh­ren (vgl. Art. 29 Abs. 1 lit. c DSG und Art. 31 Abs. 1 lit. e DSG). Unter altem Recht ist eine Anpas­sung von Anhang I.C des­halb über­schie­ssend, unter revi­dier­tem Recht dem­ge­gen­über obso­let: Das revDSG ist auf alle Sach­ver­hal­te anwend­bar, die sich in der Schweiz aus­wir­ken (Art. 3 revDSG) und die Auf­sicht des EDÖB erstreckt sich auf alle daten­schutz­recht­li­chen Ver­stö­sse (Art. 49 Abs. 1 revDSG). So oder so ist die Ergän­zung des EDÖB als Auf­sichts­be­hör­de daher nicht recht­lich zwin­gend. Sie könn­te – aus Sicht des EDÖB – aber Erleich­te­run­gen brin­gen, wenn man Klau­sel 13(b) der SCC als Bestim­mung im Sin­ne eines ech­ten Ver­trags zugun­sten Drit­ter ver­steht. Dann könn­te der EDÖB gestützt auf die ver­trag­li­che Abre­de der Par­tei­en unmit­tel­bar gegen den Daten­im­por­teur vor­ge­hen, statt den Amts- und Rechts­hil­fe­weg beschrei­ten zu müssen.
  • Nach den Vor­ga­ben des EDÖB sind die SCC wei­ter mit einem Anhang zu ergän­zen, wonach die DSGVO-Ver­wei­se als sol­che auf das DSG zu ver­ste­hen sind (soweit die Daten­über­mitt­lun­gen dem DSG unter­stellt sind) und «der Begriff ‘Mit­glied­staat’ nicht so aus­ge­legt wer­den darf, dass betrof­fe­ne Per­so­nen in der Schweiz von der Mög­lich­keit aus­ge­schlos­sen wer­den, ihre Rech­te an ihrem gewöhn­li­chen Auf­ent­halts­ort (Schweiz) gemäss Klau­sel 18 c einzuklagen».
    Wenn jedoch die SCC ver­wen­det wer­den um (auch) Daten­trans­fers nach dem DSG abzu­si­chern und Rech­te betrof­fe­ner Per­so­nen in der Schweiz zu schüt­zen, käme man auch ohne die­se aus­drück­li­che Klar­stel­lung zum sel­ben Dies setzt aber selbst­ver­ständ­lich vor­aus, dass die schwei­ze­ri­schen Daten­über­mitt­lun­gen in Annex I.B der SCC auch abge­bil­det sind.
  • Als anwend­ba­res Recht ist aus Sicht des EDÖB ent­we­der «Schwei­zer Recht oder das Recht eines Lan­des, das Rech­te als Dritt­be­gün­stig­te zulässt und gewährt», zu wäh­len. Dies stellt gegen­über den unver­än­der­ten SCC schon kei­ne Anpas­sung dar, da bereits Klau­sel 17 der SCCe­i­ne ent­spre­chen­de Rechts­wahl vor­schreibt. Dass Klau­sel 17 inso­weit von einem EU-Mit­glied­staat spricht, scha­det nicht, da der wah­re Wil­le der Par­tei­en ent­schei­dend ist.
  • Schliess­lich for­dert der EDÖB Anpas­sun­gen, um bis zum Inkraft­tre­ten des DSG auch den Schutz von Daten juri­sti­scher Per­so­nen mit ein­zu­be­zie­hen. In vie­len Fäl­len wird sich dies kaum begrün­den las­sen. Aus­län­di­sche Rechts­ord­nun­gen ent­hal­ten viel­fach Bestim­mun­gen zum Schutz von Daten juri­sti­scher Per­so­nen, z.B. durch Geheim­nis­schutz­be­stim­mun­gen, das Lau­ter­keits­recht oder das Urhe­ber­recht. Dass es ange­sichts des­sen kei­nes zusätz­li­chen daten­schutz­recht­li­chen Schut­zes bedarf, wird schliess­lich auch durch das revDSG bestä­tigt, das nur noch auf Per­so­nen­da­ten natür­li­cher Per­so­nen anwend­bar ist.

Wenn­gleich die vom EDÖB vor­ge­schla­ge­nen Anpas­sun­gen nicht recht­lich zwin­gend sind, ist es doch aus ande­ren Grün­den emp­feh­lens­wert, sie für Über­mitt­lun­gen aus der Schweiz her­aus nach­zu­voll­zie­hen. Der EDÖB hat die SCC nur unter dem Vor­be­halt der von ihm vor­ge­schla­ge­nen Anpas­sun­gen aner­kannt. Wer­den die SCC in unver­än­der­ter Form abge­schlos­sen, sind sie vor ihrer Ver­wen­dung – sowohl nach DSG als auch revDSG – also dem EDÖB vor­zu­le­gen. Die vor­sätz­li­che Ver­let­zung die­ser Pflicht ist buss­geld­be­wehrt (Art. 34 Abs. 2 lit. a DSG, Art. 61 lit. a revDSG).

In den ein­gangs dar­ge­stell­ten Kon­stel­la­tio­nen der Wei­ter­über­mitt­lung erscheint es dem­ge­gen­über nicht erfor­der­lich, ein «Swiss Finish» auch von (Unter-)auftragsbearbeitern zu ver­lan­gen bzw. in der Ver­trags­ket­te wei­ter­zu­ge­ben. So ver­weist der EDÖB in sei­nem Arbeits­pa­pier vom 27. August 2021 rich­ti­ger­wei­se dar­auf, dass sich die SCC auf «Daten­über­mitt­lun­gen aus der Schweiz in ein Dritt­land gemäss Art. 6 Abs. 2 lit. a DSG» bezie­hen, ohne auf etwai­ge Wei­ter­über­mitt­lun­gen Bezug zu neh­men. Art. 6 Abs. 2 lit. a DSG erfasst nur unmit­tel­ba­re Über­mitt­lun­gen von der Schweiz in ein unsi­che­res Dritt­land. Wenn, wie in den oben dar­ge­stell­ten Kon­stel­la­tio­nen, Per­so­nen­da­ten zunächst in ein siche­res und von dort in ein unsi­che­res Land über­mit­telt wer­den, fin­det das DSG nur auf den ersten Trans­fer Anwen­dung. Die­ser erste Trans­fer ist gemäss Art. 6 Abs. 1 DSG zuläs­sig, da der Schutz im Ziel­land als ange­mes­sen aner­kannt ist (unstrei­tig wenig­stens inso­weit, als es um die Per­so­nen­da­ten natür­li­cher Per­so­nen geht). Der Expor­teur darf des­we­gen (im Rah­men sei­ner zuvor dar­ge­stell­ten Pflich­ten) dar­auf ver­trau­en, dass das Recht im Ziel­land auch für den Wei­ter­ex­port in unsi­che­re Dritt­län­der die erfor­der­li­chen Mass­nah­men vor­sieht. Dies kann auch unter den neu­en SCC nicht so weit gehen, dass ein iden­ti­scher Schutz ver­langt ist, da ande­ren­falls der Pra­xis­nut­zen von Ange­mes­sen­heits­be­schlüs­sen wie­der aus­ge­he­belt wür­de. Wenn Auf­trags­be­ar­bei­ter in den oben dar­ge­stell­ten Kon­stel­la­tio­nen die SCC ohne «Swiss Finish» ver­wen­den, steht dies der Zuläs­sig­keit des Trans­fers aus unse­rer Per­spek­ti­ve daher nicht entgegen.