Key Take-aways 

1. Bei Datentransfers ins Ausland sind - unter geltendem wie auch unter revidiertem DSG - die neuen EU-SCC (Standard Contractual Clauses) mit Anpassungen an das Schweizer Recht (Swiss Rider) zu verwenden.

2. Bisherige SCC sind bis Ende 2022 durch neue EU-SCC mit Swiss Rider zu ersetzen, inklusive Durchführung (und Dokumentation) einer Risikobewertung (Transfer Impact Assessment; TIA).

3. Bis zum Inkrafttreten des revidierten DSG ist weiterhin die Meldepflicht auch beim Abschluss neuer SCC zu beachten. Deren Missachtung kann unter gelten- dem Recht zu einer Busse führen.

1 Datentransfer ins Ausland

Bei vielen Geschäftsvorgängen werden Personendaten von der Schweiz ins Ausland übermittelt (oder es wird der Zugriff auf in der Schweiz befindliche Daten vom Ausland aus ermöglicht), z.B. bei der Nutzung von Cloud-Diensten. Verfügt das betref- fende Drittland über kein aus Schweizer Sicht genügendes Datenschutzniveau, so verlangt das Schweizer Datenschutz- gesetz (DSG), dass dieser Mangel durch Schutzmechanis- men kompensiert wird (Art. 6 Abs. 2 DSG). In der Praxis erfolgt dies zumeist durch sogenannte Standardvertragsklauseln (Standard Contractual Clauses; SCC). SCC sind behördlich vorformulierte bzw. anerkannte Vereinbarungen, die zwischen Datenexporteur und Datenimporteur abgeschlossen werden und den Datentransfer mit vertraglichen Schutzmechanismen absichern. SCC sind bereits unter dem geltenden DSG nötig und werden dies auch unter dem revidierten DSG (nDSG) sein.

Die zumeist verwendeten Standardvertragsklauseln der EU (EU-SCC) wurden 2021 revidiert. Seit September 2021 dürfen für neue Datentransfers nur noch diese neuen EU-SCC verwendet werden. Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die EU-SCC auch zur Verwendung für Schweizer Verhältnisse anerkannt, sofern diese an das Schweizer Datenschutzrecht angepasst werden (vgl. unten Ziff. 4). Sollen für Datentransfers aus der Schweiz somit die EUSCC eingesetzt werden, sind dafür zwingend die neuen EU-SCC zu verwenden und an das Schweizer Datenschutzrecht anzupassen. Bereits bestehende SCC, die auf den "alten" EU-SCC basieren, dürfen bis zum 31. Dezember 2022 noch in Gebrauch bleiben, sofern sich an den Datentransfers keine wesentlichen Änderungen ergeben. Vor Ende 2022 müssen diese aber auf Basis der neuen EU-SCC mit den nötigen Anpassungen an Schweizer Recht ersetzt werden.

Beim Abschluss neuer SCC sind die EU-SCC mit einem Swiss Rider zu ergänzen.

2 Wann sind SCC nötig?

2.1 Fehlendes angemessenes Datenschutzniveau

SCC (oder andere Schutzmechanismen nach Art. 6 Abs. 2 DSG, auf die hier nicht eingegangen wird) sind nötig, wenn ein Datentransfer in ein Land ohne angemessenes Daten- schutzniveau erfolgt (oder wenn ein Datenzugriff aus einem solchen Land erfolgt). Auskunft dazu gibt die vom EDÖB (unter nDSG dann durch den Bundesrat) publizierte Staatenliste.

Die EU/EWR-Mitgliedstaaten gewährleisten ein genügendes Datenschutzniveau bezüglich Personendaten natürlicher Personen, nicht aber z.B. die USA (als wichtiger Standort vieler Anbieterinnen von Cloud- und SaaS-Dienstleistungen).

Weiter ist zu beachten, dass unter geltendem Schweizer Datenschutzrecht auch Personendaten bezüglich juristischer Personen unter das DSG fallen, was unter den Datenschutz- gesetzen der EU/EWR-Mitgliedstaaten nicht der Fall ist. Sobald die vom Datentransfer betroffenen Daten somit Personendaten juristischer Personen enthalten, gelten aus Sicht des DSG auch die EU/EWR-Mitgliedstaaten nicht mehr als "sichere" Destinationen. Dies wird sich erst mit dem Inkrafttreten des nDSG (erwartet per 1. September 2023) ändern: Das nDSG wird nur noch für Personendaten natürlicher Personen gelten, der Schutz von Personendaten jurisischer Personen entfällt. Bis zum Inkrafttreten des nDSG müssen somit Datentransfers mit Personendaten juristischer Personen auch bei Transfers in EU/EWR-Mitgliedstaaten mittels SCC abgesichert werden.

Der Aufwand zur Ersetzung bestehender SCC sollte nicht unterschätzt werden.

2.2 SCC im Direktverhältnis und im Konzern

Verantwortlich für die Absicherung des Datentransfers in ein "unsicheres" Land ist der Datenexporteur, der dazu mit dem Datenimporteur SCC abschliessen muss. Dies erfolgt meist über eine entsprechende Pflicht im Hauptvertrag (z.B. dem Cloud- oder SaaS-Leistungsvertrag) mit den SCC als Anhang oder parallel abzuschliessendem Nebenvertrag.

Die Vorschriften bezüglich SCC gelten auch innerhalb eines Konzerns. Erfolgen in einem Konzern Datentransfers z.B. von einer Schweizer Tochtergesellschaft an eine Gruppengesellschaft in den USA, so sind auch hier Schutzmechanismen nötig. In der Praxis kommen auch hier SCC zum Einsatz, indem sie Teil einer umfassenderen gruppeninternen Regelung zu Datentransfers bilden (sog. Intra-Group Data Transfer Agreement; IGDTA).

2.3 Beispiel: Cloud- oder SaaS-Dienste einer US-Anbieterin

In der Praxis kommt es häufig vor, dass ein Schweizer Unternehmen z.B. Cloud- oder SaaS-Dienste einer US-Anbieterin in Anspruch nehmen will, wobei Personendaten unter der Verantwortung des Schweizer Unternehmens auf Servern in den USA gespeichert werden (oder zumindest aus den USA darauf Zugriff genommen wird, z.B. zu Supportzwecken). Da die USA aus Sicht des Schweizer Datenschutzrechts über kein angemessenes Datenschutzniveau verfügen, ist ein solcher Datentransfer mittels SCC abzusichern.

Insbesondere internationale Anbieterinnen von Cloud-oder SaaS-Diensten verfügen in der Regel bereits über angemessene SCC-Vorlagen, deren Abschluss sie ihren europäischen Kunden anbieten. Aus Schweizer Sicht ist hierbei sicherzustellen, dass solche Vorlagen, welche meist nur die EU-SCC berücksichtigen, auch die gemäss EDÖB notwendigen Zusätze nach Schweizer Recht enthalten.

3 Wo besteht konkreter Handlungsbedarf?

3.1 Neue Datentransfers ins Ausland

Werden neue Datentransfers vorgenommen, z.B. im Rahmen neuer Geschäftsprozesse oder beim Beizug neuer Dienstleister, ist abzuklären, ob dies zu Datentransfers in Länder mit ungenügendem Datenschutzniveau führt. Ist dies der Fall, sollten - sofern nicht eine anderweitige Ausnahme nach Art. 6 Abs. 2 DSG zur Anwendung kommt - neue SCC abge-schlossen werden, mit den entsprechenden Anpassungen nach Schweizer Datenschutzrecht ("Swiss Rider").

Die SCC sind modular aufgebaut, und je nach konkreter Situation bzw. Rolle der Beteiligten als Verantwortliche oder als Auftragsbearbeiter sind die passenden Module auszuwählen. Bei einzelnen Klauseln bestehen zudem Wahlmöglichkeiten, und in den Anhängen sind Angaben zum Datentransfer sowie zu den eingesetzten technischen und organisatorischen Massnahmen vorzusehen. Die Anpassung der SCC und Ergänzung der Anhänge sollten in Koordination zwischen Business/Operation und Legal/Compliance erfolgen.

3.2 Ersetzen bestehender SCC

Bestehen bereits SCC, so sollte überwacht werden, ob sich die zugrunde liegenden Datentransfers wesentlich ändern. Dies kann z.B. der Fall sein, wenn Geschäftsprozesse angepasst oder Datenbearbeitungen erweitert werden. Erfolgt eine we- sentliche Änderung, so sind die entsprechenden SCC vorab durch neue SCC auf Grundlage der neuen EU-SCC (mit Swiss Rider) zu ersetzen.

Auch wenn in den nächsten Monaten keine wesentliche Änderung an Datenbearbeitungen vorgesehen ist, so besteht dennoch Handlungsbedarf: Die bereits bestehenden SCC müssen bis 31. Dezember 2022 durch die neuen EU-SCC (mit Swiss Rider) ersetzt werden. Dazu wird zuerst eine Übersicht über die vorhandenen SCC benötigt. Steht fest, wel- che SCC bestehen und zu ersetzen sind, sollte genügend Zeit eingeplant werden, um dies umzusetzen. Für die operative Umsetzung kann es allenfalls hilfreich sein, externe Dienst- leister beizuziehen.

In der Praxis bewährt hat sich, zuerst eine Übersicht über die Datenempfängerinnen und deren Kontaktpersonen zu er- stellen. Zeichnet sich ab, dass viele SCC zu ersetzen sind, bietet sich eine Priorisierung an (z.B. nach Sensitivität der betroffenen Daten) sowie die Erstellung eines allgemeinen "Cover Sheets" zu den EU-SCC, welches die allgemeinen sowie die je nach Datenempfängerin individuellen Anpassungen der SCC enthält.

Auch wenn es sich bei den SCC weitgehend um Stan- darddokumente handelt, sollte der Aufwand für deren kon- kreten Abschluss mit jeder betroffenen Datenempfängerin nicht unterschätzt werden - gerade für Unternehmen, die aufzahlreiche Dienstleister angewiesen sind. Ist eine Vielzahl von SCC zu ersetzen, können allenfalls alternative Mechanismen (wie z.B. einseitige Information an die Datenempfängerin mit Verweis auf die neu anwendbaren SCC) ins Auge gefasst werden. Ob dies unter den konkreten Umständen ein gangbarer Weg ist, sollte jeweils im Detail und mittels angemessener Risikoabwägung geprüft werden. 

Bis zum Inkrafttreten des nDSG ist weiterhin die Meldepflicht zu beachten.

3.3 Transfer Impact Assessment

Die neuen EU-SCC sehen vor, dass ein sogenanntes Transfer Impact Assessment (TIA) durchzuführen ist (Klausel 14 der EU-SCC). Beim TIA handelt es sich um eine Risikobewertung (Risk Assessment), bei der geprüft wird, ob der Datenimpor- teur aufgrund lokaler Vorschriften gezwungen sein kann, gegen die Regelungen in den SCC zu verstossen. Das Ergebnis dieser Prüfung ist zu dokumentieren.

Diese relativ neue Vorgabe führt erfahrungsgemäss zu einigem Klärungs- und Bearbeitungsaufwand. Eine solche Risikobewertung kann nicht pauschal oder unternehmensweit er- folgen, sondern hat die Umstände des konkreten Einzelfalls, d.h. des jeweils relevanten Datentransfers, zu berücksichtigen.

4 Was beinhaltet der "Swiss Rider"?

Der EDÖB hat in einem Leitfaden aufgezeigt, welche Aspekte ein "Swiss Rider" zu den EU-SCC zu enthalten hat, damit die EU-SCC auch unter Schweizer Datenschutzrecht genügen.

Dies betrifft u.a. Regelungen zur zuständigen Aufsichtsbehör- de, zum anwendbaren Recht, zum Gerichtsstand und bezüg- lich Personendaten juristischer Personen (s. oben Ziff. 2.1).

Für die Regelung bestehen drei Lösungsansätze, wobei danach unterschieden wird, ob ein Datentransfer ausschliess- lich dem DSG unterstellt ist (Fall 1) oder ob zugleich auch die EU-Datenschutz-Grundverordnung (DSGVO) zur Anwendung gelangt (Fall 2). In letzterem Fall können die SCC so angepasst werden, dass für alle Datentransfers jeweils die gemäss zugehö- rigem Datenschutzrecht (DSG/DSGVO) passende Regelung zur Anwendung kommt (Fall 2a). Alternativ kann auch für sämtliche Datentransfers der DSGVO-Standard gewählt werden (Fall 2b).

Welche Lösung sich am besten eignet, hängt von den Umständen des Einzelfalls ab. Insbesondere in Konzernverhält- nissen, in denen sich auch die Schweizer Gesellschaften bereits nach den DSGVO-Vorgaben richten, kann die Wahl der Option 2b allenfalls zur Vereinheitlichung und Vereinfachung beitragen.

5 Die Meldepflicht - und deren nahendes Ende

Nach geltendem DSG muss der EDÖB über die Verwen- dung von SCC informiert werden, bevor ein grenzüber- schreitender Datentransfer erfolgt (Art. 6 Abs. 3 DSG). Eine Mitteilung in allgemeiner Form mit dem Hinweis, dass die EU-SCC mit Anpassungen an das Schweizer Datenschutz- recht eingesetzt werden, ist ausreichend. Diese müssen nicht offengelegt werden, und es bedarf keiner Genehmigung durch den EDÖB. Verstösse gegen die Meldepflicht können strafrechtlich mit Busse bis CHF 10'000 sanktioniert werden (Art. 34 Abs. 2 lit. a DSG).

Unter dem nDSG entfällt diese Meldepflicht. Bis zum Inkrafttreten des nDSG (aktuell erwartet per 1. September 2023) ist die Beachtung der Meldepflicht weiterhin vorgeschrieben.

6 Fazit

Bei grenzüberschreitenden Datentransfers (oder der Gewäh- rung des Zugriffs auf Daten in der Schweiz aus dem Ausland) ist zu prüfen, ob das Datenschutzniveau des Destinations- landes (bzw. des Landes, aus dem der Zugriff erfolgt) den An- forderungen des Schweizer Datenschutzrechts genügt. Ist dies nicht der Fall, was insbesondere bei Personendaten bezüglich juristischer Personen auch auf die EU/EWR-Mitgliedstaaten zutrifft, sind SCC auf Grundlage der neuen EU-SCC mit ent- sprechendem Swiss Rider abzuschliessen.

Bereits bestehende SCC können noch bis Ende 2022 weiterverwendet werden, sind aber bis zum 31. Dezem-ber 2022 durch die neuen SCC zu ersetzen. Der Aufwand hierfür sollte nicht unterschätzt werden. Es empfiehlt sich daher, die Prüfung, ob und in welchem Umfang neue SCC abzuschliessen sind, frühzeitig einzuleiten.