Standardvertragsklauseln (SCC) bzw. Standarddatenschutzklauseln sind eine zusätzliche Garantie für die Bekanntgabe von Personendaten in Länder ohne angemessenes Datenschutzniveau. Wir erklären, wann Sie SCC einsetzen können und wie Sie als Schweizer Unternehmen die SCC der Europäischen Union für Ihre Zwecke anpassen müssen.
Was sind Standardvertragsklauseln bzw. Standarddatenschutzklauseln?
Gemäss Art. 16 Abs. 1 des Bundesgesetzes für den Datenschutz (DSG) dürfen Personendaten nicht in Länder übermittelt werden, in denen kein angemessenes Datenschutzniveau vorliegt. Länder, die über ein angemessenes Datenschutzniveau verfügen, sind über die Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) abrufbar.
Eine Datenübermittlung in ein Land ohne angemessenes Datenschutzniveau ist möglich, wenn durch zusätzliche Garantien ein geeigneter Datenschutz gewährleistet wird. In der Praxis kommen hierfür häufig Standardvertragsklauseln zum Einsatz (der EDÖB bezeichnet diese als Standarddatenschutzklauseln, in diesem Artikel bleiben wir bei der international gängigen Bezeichnung). Die SCC werden zwischen dem Datenexporteur in der Schweiz und den Datenimporteuren in Drittländern geschlossen. In der Regel werden die SCC als Anhang zu einem Hauptvertrag oder Auftragsbearbeitungs-Vertrag beigefügt.
Die SCC können von den Parteien erarbeitet werden und müssen dann vorgängig vom EDÖB genehmigt werden. Erst wenn der EDÖB seinen Entscheid zu den Klauseln gefällt hat, dürfen Daten ins Ausland bekanntgeben werden. SCC können aber auch vom EDÖB selber ausgestellt oder anerkannt werden. Vom EDÖB anerkannte bzw. genehmigte Klauseln werden in einer Liste veröffentlicht.
Hinweis: Nach dem alten bisher geltenden Datenschutzrecht DSG mussten Verträge für die Bekanntgabe ins unsichere Drittstaaten der EDÖB gemeldet werden, bevor ein grenzüberschreitender Datentransfer erfolgte. Unter dem neuen DSG entfällt diese Meldepflicht.
Wann sind SCC notwendig?
Erfolgt eine Bekanntgabe von Personendaten in ein Land ohne angemessenes Datenschutzniveau oder ein Datenzugriff aus einem solchen Land, kann der geeignete Datenschutz durch SCC in einem Vertrag zwischen den Vertragsparteien oder anderen Schutzmechanismen nach Artikel 16 Abs. 2 DSG gewährleistet werden. Wenn ein Schweizer Unternehmen beispielsweise Cloud-Dienste eines US-Unternehmens in Anspruch nehmen will, werden regelmässig Personendaten des verantwortlichen Schweizer Unternehmens auf Servern in den USA gespeichert bzw. kann aus den USA Zugriff auf die Personendaten des Schweizer Unternehmens (z.B. zu Supportzwecken) genommen werden. Da die Gesetzgebung der USA aus Sicht der Schweiz keinen angemessenen Schutz gewährleistet, ist ein solcher Datentransfer mittels SCC abzusichern.
Da das Schweizer Datenschutzgesetzes kein Konzernprivileg enthält, sind auch für Datentransfers innerhalb des Konzerns Schutzmechanismen notwendig. SCC kommen auch hier in der Praxis regelmässig zum Einsatz.
Anpassung der EU-Standardvertragsklauseln für Schweizer Unternehmen
In der Praxis finden regelmässig die Standardvertragsklauseln der Europäischen Union (EU) Anwendung. Diese wurden vom EDÖB anerkannt, sofern aus den Klauseln klar hervorgeht, dass auch die Datentransfers aus der Schweiz erfasst sind. Der EDÖB erkennt seit dem 1. Januar 2023 nur noch die neuen Standardvertragsklauseln inklusive sämtlicher Module der EU an (siehe dieser Link), sofern diese im konkreten Anwendungsfall angepasst und/oder ergänzt werden. Allerdings akzeptiert der EDÖB diese SCC nicht vorbehaltslos. Sollte es nötig sein, müssen diese bei ihrer Anwendung noch angepasst und/oder ergänzt werden.
Achtung: Regelmässig versuchen Dienstleister ihre eigenen SCC-Vorlagen zu verwenden. Aus Schweizer Sicht ist es wichtig sicherzustellen, dass solche Vorlagen, welche meist nur die EU-SCC berücksichtigen, auch die im Folgenden geschilderten vom EDÖB notwendigen Zusätze nach Schweizer Recht enthalten.
In einem Leitfaden zeigt der EDÖB auf, welche Aspekte zu berücksichtigen sind, damit die EU-SCC auch nach Schweizer Datenschutzrecht eingesetzt werden können. Die Anpassungen betreffen unter anderem Regelungen zur zuständigen Aufsichtsbehörde, zum anwendbaren Recht und zum Gerichtsstand. Hierbei ist wie folgt vorzugehen:
Auswahl des konkret vorliegenden Szenarios
Die neuen SCC der EU sind modular aufgebaut und decken folgende Situation ab:
- Modul 1: Übermittlung zwischen Verantwortlichen,
- Modul 2: Übermittlung von einem Verantwortlichen an einen Auftragsbearbeiter,
- Modul 3: Übermittlung von einem Auftragsbearbeiter an einen weiteren (Unter-) Auftragsbearbeiter,
- Modul 4: Übermittlung von einem Auftragsbearbeiter an einen Verantwortlichen.
Der Datenexporteur soll das für die jeweilige Situation geltende Modul auswählen. Dieser Ansatz gibt Unternehmen mehr Flexibilität bei den Datenübermittlungen ins Ausland.
Praxistipp: In der Praxis hat sich bewährt, zuerst eine Übersicht über die Datenflüsse zu erstellen und in diesem Zuge auch die Datenempfänger zu dokumentieren. Am besten wird dies im Verzeichnis der Bearbeitungstätigkeiten gem. Art. 12 DSG abgebildet.
Beurteilung, welchem Recht der Datentransfer unterliegt
Situation 1: die Datenübermittlung unterliegt ausschliesslich dem DSG
Die Bekanntgabe von Personendaten aus der Schweiz ins Ausland untersteht in erster Linie den Regeln von Art. 16 DSG. In diesem Fall untersteht die Datenübermittlung ins Ausland einzig dem DSG. Sofern die SCC der EU angewendet werden sollen, sind diese an die Besonderheiten des DSG anzupassen. Insbesondere ist zu gewährleisten, dass den betroffenen Personen durch die Verwendung der SCC kein Nachteil entsteht.
| EU SCC | Anpassungen an DSG | Umsetzungsvorschlag |
|---|---|---|
| Anpassungen bzw. Ergänzungen betreffend der Verweise auf die DSGVO | Ein Anhang ist den SCC hinzuzufügen, worin präzisiert wird, dass die Verweise auf die DSGVO als Verweise auf das DSG zu verstehen sind. | Erstellung eines Annexes: “ANNEX [No.]: Adaptations and amendments for the Swiss Federal Act on Data Protection of 25 September 2020 Explanatory note: Since August 27, 2021, the Swiss Federal Data Protection and Information Commissioner (FDPIC) has recognised the Standard Contractual Clauses for the transfer of personal data to third countries in accordance with Regulation (EU) 2016/679 of the European Parliament and of the Council (pursuant to Implementing Decision 2021/914/EU) as the basis for personal data transfers to a country without an adequate level of data protection. However, the FDPIC requires that necessary adaptations and amendments are made for use under Swiss data protection law. The following are the amendments/additions to the SCC: References to the GDPR are to be understood as references to the FADP insofar as data transfers are subject to the FADP.” |
| Anhang 1.C: Zuständige Aufsichtsbehörde | Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) | “Supervisory authority for Switzerland: Federal Public Information and Data Protection Commissioner, FDPIC Feldeggweg 1 CH-3003 Bern Switzerland“ |
| Klausel 17: Anwendbares Recht für vertragliche Ansprüche | Schweizer Recht oder Recht eines Landes, das Rechte als Drittbegünstigte zulässt und gewährt | „These Clauses shall be governed by the law of Switzerland, provided data transfer is subject to the FADP.“ |
| Klausel 18(b): Gerichtsstand und Zuständigkeit | Freie Wahl | Klausel 18(a) streichen. Beispiel für Änderung der Klausel 18(b): „Any dispute arising from these Clauses subject to the FADP shall be resolved by the courts of Switzerland.” |
| Anpassungen bzw. Ergänzungen zu Klausel 18(c) betreffend Gerichtsstand für Klagen von betroffenen Personen | Ein weiterer Anhang zu den SCC ist zu erstellen, worin präzisiert wird, dass der Begriff „Mitgliedstaat“ so ausgelegt wird, dass betroffene Personen der Schweiz die Möglichkeit haben, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäss Klausel 18 c einzuklagen. | Änderung der Klausel 18(c): „A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of Switzerland in which he/she has his/her habitual residence.“ |
Situation 2: die Datenübermittlung unterliegt dem DSG und der DSGVO
Findet eine Bearbeitung auch in der EU statt, kann aufgrund der extraterritorialen Wirkung der EU-Datenschutz-Grundverordnung (DSGVO) zusätzlich der Anwendungsbereich der DSGVO eröffnet sein. Dies ist beispielsweise der Fall, wenn ein Schweizer Unternehmen einen Dienstleister in der EU beauftragt, welcher zusätzlich mit einem Dienstleister in den USA zusammenarbeitet. Für solche Situationen ist die Datenübermittlung an diese Besonderheiten anzupassen. Wichtig ist zu beachten, dass die SCC für Datenübermittlungen, die der DSGVO unterstehen, nicht abgeändert werden dürfen.
Für die betroffenen Parteien gibt für Datenübermittlungen, die sowohl dem DSG als auch der DSGVO unterliegen, für die Anpassung der SCC zwei Optionen:
- Die Parteien können zwei separate Regelungen vorsehen, wobei die eine den Datentransfer nach DSG (mit den entsprechenden oben dargestellten Anpassungen) und die andere in nach DSGVO abdeckt.
- Alternativ können sämtliche Datentransfers dem Standard der DSGVO unterstellt werden. Dies ist möglich, da die Schweiz der DSGVO ein angemessenes Datenschutzniveau zertifiziert und die betroffenen Personen in der Schweiz folglich nicht schlechter gestellt werden. Aber auch mit dieser zweiten Option sind gewisse Anpassungen notwendig:
| EU SCC | Anpassungen an DSG | Umsetzungsvorschlag |
|---|---|---|
| Anpassungen bzw. Ergänzungen betreffend Verweise auf die DS GVO | Ein Anhang ist den SCC hinzuzufügen, worin präzisiert wird, dass die Verweise auf die DSGVO als Verweise auf das DSG zu verstehen sind. | Erstellung eines Annexes: “ANNEX [No.]: Adaptations and amendments for the Swiss Federal Act on Data Protection of 25 September 2020 Explanatory note: Since August 27, 2021, the Swiss Federal Data Protection and Information Commissioner (FDPIC) has recognised the Standard Contractual Clauses for the transfer of personal data to third countries in accordance with Regulation (EU) 2016/679 of the European Parliament and of the Council (pursuant to Implementing Decision 2021/914/EU) as the basis for personal data transfers to a country without an adequate level of data protection. However, the FDPIC requires that necessary adaptations and amendments are made for use under Swiss data protection law. The following are the amendments/additions to the SCC: References to the GDPR are to be understood as references to the FADP insofar as data transfers are subject to the FADP.” |
| Anhang 1.C: Zuständige Aufsichtsbehörde | Parallele Aufsicht:
|
“Supervisory authority for Switzerland: Federal Public Information and Data Protection Commissioner, FDPIC Feldeggweg 1 CH-3003 Bern Switzerland“ |
| Klausel 17: Anwendbares Recht für vertragliche Ansprüche | Recht eines EU-Mitgliedsstaats; freie Wahl bei Modul 4 | Einfügen eines EU-Mitgliedstaates im Freifeld. |
| Klausel 18 b: Gerichtsstand und Zuständigkeit | Gericht eines EU-Mitgliedsstaats; freie Wahl bei Modul 4 | Einfügen eines EU-Mitgliedstaates im Freifeld. |
| Anpassungen bzw. Ergänzungen zu Klausel 18c betreffend Gerichtsstand für Klagen von betroffenen Personen | Ein weiterer Anhang zu den SCC ist zu erstellen, worin präzisiert wird, dass der Begriff „Mitgliedstaat“ so ausgelegt wird, dass betroffene Personen der Schweiz die Möglichkeit haben, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäss Klausel 18 c einzuklagen. | Erstellung eines Annexes: “ANNEX [No.]: Adaptions and amendments for the choice of forum and jurisdiction A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of Switzerland in which he/she has his/her habitual residence.” |
Erfüllung der Pflichten aus Art. 9 DSG
Module 2 und 3 der SCC erfüllen die inhaltlichen Anforderungen an den Auftragsbearbeitungs-Vertrag gemäss Art. 28 DSGVO. Da die DSGVO strengere Anforderungen an die Auftragsbearbeitung stellt als das DSG, muss kein separater Auftragsbearbeitungsvertrag, wie in Art. 9 DSG gefordert, abgeschlossen werden. Werden Personendaten also an einen im Ausland ansässigen Auftragsbearbeiter übermittelt, reicht der Abschluss von Modul 2 bzw. 3 mit den entsprechenden Anpassungen zum DSG.
Vorherige Analyse möglicher Risiken im Bestimmungsland
Der EDÖB stellt erhöhte Anforderungen an auf SCC gestützte Datentransfers und verlangt von Schweizer Verantwortlichen eine einzelfallabhängige Risikoabschätzung. Solch eine Risikobewertung ist auch in Klausel 14 der SCC vorgesehen.
Bei dieser Risikobewertung muss der Verantwortliche prüfen, ob der Datenimporteur aufgrund nationaler Vorschriften gezwungen sein kann, gegen die Regelungen in den SCC zu verstossen. Somit muss sich der Verantwortliche mit dem rechtlichen und faktischen Schutz personenbezogener Daten im Bestimmungsland auseinandersetzen. Die Vertragsparteien müssen die Rechtsvorschriften und Gepflogenheiten des jeweiligen Landes analysieren, die sich auf die Einhaltung der Klauseln auswirken.
In der Prüfung sind insbesondere die geltenden Rechtsvorschriften im Zielland, Praxis der Verwaltungsbehörden, Gerichtsbehörden und Rechtsprechung mit einzubeziehen. Subjektive Faktoren, wie zum Beispiel die Wahrscheinlichkeit eines Zugriffs können laut EDÖB nicht berücksichtigt werden.
Es liegt in der Verantwortung des Verantwortlichen, dass sich der Datenimporteur an die vereinbarten Klauseln hält und dass die Gesetzgebung des Empfängerlandes dem Datenimporteur erlaubt, seinen Verpflichtungen nachzukommen. Der Datenexporteur sollte sich somit nicht nur auf die Aussagen des Datenimporteurs verlassen.
Es empfiehlt sich folgende Vorgehensweise bei der Risikobewertung:
- Stufe 1: Datentransfer identifizieren (Ausgangspunkt: Verzeichnis der Bearbeitungstätigkeiten)
- Stufe 2. Übermittlungsinstrumente darlegen (z.B. SCC)
- Stufe 3: Beurteilung der Wirksamkeit des ausgewählten Übermittlungsinstruments (Bewertung der Rechtslage im Zielland)
- Stufe 4: Zusätzliche Schutzmassnahmen (sofern Klauseln vom Datenimporteur nicht eingehalten werden können)
- Stufe 5: Regelmässige Überprüfung
Zusätzliche Massnahmen zu den SCC
Da die SCC lediglich die Vertragsparteien binden und nicht Behörden im Empfängerland, kann es nötig sein, dass zusätzliche Massnahmen zum Schutz der Daten ergriffen werden müssen.
Zusätzliche vertragliche Massnahmen greifen regelmässig ins Leere, weil sie Behörden oder Geheimdienste nicht binden und somit behördliche Zugriff auch nicht verhindern können.
Zusätzliche technischen Massnahmen müssen so implementiert und konzipiert sein, dass die Behörden Zugriffe auf die übermittelten Personendaten im Zielland faktisch verhindert werden. Regelmässig werden Verschlüsselungstechniken angeführt, welche nach den Prinzipien BYOK (bring your own key) oder BYOE (bring your own encryption) umgesetzt sind, so dass im Zielland keine Klardaten vorliegen und der Dienstleister keine Möglichkeit hat, die Daten selber zu entschlüsseln.
Soweit solche Massnahmen nicht den gewünschten Zweck erfüllen bzw. nicht möglich sind, ist der Datentransfer auszusetzen bzw. zu beendigen.
Fazit: Abschluss von Standardvertragsklauseln ist arbeitsintensiv
Der Wegfall der Meldepflicht bedeutet nicht, dass sich Schweizer Unternehmen zurücklehnen können, wenn sie Daten ins Ausland übermitteln wollen.
Sofern sich die Übermittlung auf SCC als geeignete Garantien stützt, sollten Unternehmen berücksichtigen, dass der Abschluss von SCC zeit- und ressourcenintensiver geworden ist. So setzen die neuen Klauseln ausdrücklich voraus, dass sich die involvierten Parteien vor dem Transfer Gedanken über den Schutz der Personendaten nach der Übermittlung machen.
Neben sowieso schon bestehenden datenschutzrechtlichen Pflichten (zum Beispiel eine geeignete Auswahl des Dienstleisters gemäss Art. 9 DSG) müssen zusätzlich die Rechtslage im Empfängerland geprüft, ggf. zusätzliche Massnahmen ergriffen und die passenden Klauseln abgeschlossen werden.
All dies sollte nicht auf die leichte Schulter genommen werden. Im Zweifelsfall lohnt es sich, den Rat externer Experten einzuholen.
