Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) hat in seiner neuen Anleitung veröffentlicht, wie mit Datenexport von personenbezogenen Daten ins Ausland verfahren werden soll. Damit soll die Prüfung zur Zulässigkeit der Datenübermittlung von personenbezogenen Daten erleichtert werden und macht gleichzeitig deutlich, dass in der Schweiz die gleichen konzeptionellen Regeln wie in der EU gelten.
Heutzutage kann die datenschutzrechtlich-konforme Datenübermittlungen von personenbezogenen Daten ins Ausland für den Exporteur mit erheblichem Aufwand verbunden sein. Der EDÖB trägt nun mit seiner neuen schematischen Anleitung zur Transparenz und damit zur Rechtssicherheit bei.
Überprüfung des Datenschutzniveaus im Drittland
Der Datenexporteur muss demnach sicherstellen, dass in den Zielländern ein angemessenes Datenschutzniveau gewährleistet ist (Art. 6 DSG). Im Falle von Staaten der EU/EWR kann davon ausgegangen werden, dass diese ein ausreichendes Datenschutzgesetz besitzen, welches ein genügendes Datenschutzniveau aufweist.
Es gilt jedoch zu beachten, dass Auftragsbearbeiter in einem Staat mit adäquatem Schutzniveau unter Umständen auch einem Gesetz oder anderen zwingenden Vorgaben eines Drittlandes unterstehen können, dass die Bekanntgabe der Daten an die Behörden des besagten Drittlandes verpflichtet. In diesem Fall ist so zu verfahren, wie wenn der Staat des Auftragsbearbeiters kein angemessenes Schutzniveau aufweisen würde.
Angemessenheit des Schutzniveaus
Werden Daten in Länder der EDÖB Staatenliste exportiert, so gilt man als gutgläubig nach Art. 3 Abs. 1 ZGB. Wichtig dabei ist, dass der Exporteur weiterhin für die personenbezogenen Daten verantwortlich und somit auch nicht aus der Pflicht entlassen ist, sich regelmässig über die Datenschutzsituation der betreffenden Staaten zu informieren. Ansonsten ist die Gutgläubigkeit des Exporteurs widerlegt.
Möchte man dagegen personenbezogene Daten in Staaten liefern, welche nicht auf der EDÖB Staatenliste aufgeführt werden, kommt das Gutglaubensprinzip nicht zum Zuge. Dies bedeutet aber noch nicht, dass das Land über kein ausreichendes Datenschutzniveau verfügt. Denn der EDÖB prüft nicht jeden Staat auf seine Angemessenheit. Es bedeutet damit lediglich, dass der Exporteur selbst die nötigen Rechtsabklärungen bezüglich Datensicherheit dieses Landes vornehmen muss.
Kein angemessener Schutz
Hat ein Land kein genügendes Datenschutzniveau, so ist der Datenexporteur verpflichtet den Datenschutz mittels hinreichender Garantien, insbesondere eines Vertrages, zu schützen. Ferner muss er eine detaillierte Aufzeichnung des Datentransfers erstellen, welche als sachdienliche Basis für die Einschätzung des beabsichtigten Datenexports dient.
Betreffend den staatlichen Zugriff auf personenbezogenen Daten und die Rechte der Betroffenen, ist der Datenexporteur weiterhin verpflichtet und hat abzuklären, ob die Zugriffe mit dem Schweizer Datenschutz- und Verfassungsrecht vereinbar sind. Dabei hat er nachzuforschen, ob folgende Grundrechtsgarantien im Drittland gewährleistet sind:
- Legalitätsprinzip – Klare, präzise und zugängliche Rechtsregeln (Art. 164 BV)
- Verhältnismässigkeit der behördlichen Massnahmen (Art. 5 Abs. 2 BV)
- Wirksame Rechtsmittel (Art. 13 Abs. 2 BV)
- Rechtsweggarantie und Zugang zu unabhängigen und unparteiischen Gerichten (Art. 29 ff. BV)
Diese Garantien sind im Einzelfall zu analysieren, wobei für einen allfälligen Datentransfer alle rechtlichen Umstände im Drittland sowie auch die gewählten Instrumente wie SCC usw. zu beachten sind.
Falls die vier Garantien erfüllt sind, so kann gemäss EDÖB mit standardmässigen SCC ein angemessenes Datenschutzniveau erreicht werden. Sollten dagegen die Garantien nicht erfüllt sein, müssen zusätzliche technische und organisatorische Massnahmen getroffen werden, die einen Behördenzugriff auf die übermittelten Personendaten faktisch verhindern können. Dies kann beispielsweise in Form einer Datenverschlüsselung erfolgen. Ist auch mit den zusätzlichen Massnahmen kein genügendes Datenschutzniveau erfolgt, so ist die Datenübertragung ins Ausland zu beenden.
Zusätzliche vertragliche Massnahmen sind hingegen kaum ausreichend, weil sie drittstaatliche Behörden nicht binden und damit behördliche Zugriffe nicht verhindern.
Sollten Anhaltspunkte bestehen, dass aufgrund des Datentransfers personenbezogene Daten in den USA direkt oder indirekt bearbeitet werden, namentlich bei Nutzung von Clouddiensten, so hat der EDÖB zur Abklärung der Garantien im Anhang zu seiner Anleitung einen Fragebogen entwickelt. Dieser soll Aufschluss darüber geben, ob US-Behörden gemäss Sect. 702 des Foreign Intelligence Surveillance Act (FISA) Zugriff auf besagte personenbezogene Daten ausüben können. Sollte dies der Fall sein, so sind die obgenannten Grundsätze der Verhältnismässigkeit und der wirksamen Rechtsmittel nicht mehr gewährleistet und der Exporteur hat weitere technische und organisatorische Massnahmen zum Schutz der personenbezogenen Daten zu treffen.
Übertragung der Daten
Sind die notwendigen Massnahmen umgesetzt, so muss der verantwortliche Datenexporteur regelmässig die sachlichen und rechtlichen Voraussetzungen überprüfen. Kommt dieser zum Schluss, dass die Datenschutzkonformität nicht mehr gegeben ist, so ist der Datentransfer ins Ausland einzustellen.
Der Europäische Datenschutzausschuss EDSA (in engl. EDPB) hat am 18. Juni 2021 ebenfalls Empfehlungen zum rechtgenügenden Datentransfer in Drittländer veröffentlicht. Darin integriert wurden die Anforderungen des Europäischen Gerichtshofes, welche im sog. Schrems II-Urteil (C-311/18) etabliert wurden. Die Empfehlungen sind hierbei mit jenen des EDÖB vergleichbar. Unseren Beitrag dazu finden Sie hier.
Download
Anleitung für die Prüfung von Datenübermittlungen mit Auslandbezug DE (1) (2)-ganz
Anleitung für die Prüfung von Datenübermittlungen mit Auslandbezug DE (1) (2)-Anhang
Anleitung für die Prüfung von Datenübermittlungen mit Auslandbezug DE (1) -Graphik