Datenschutz (DSGVO): Übermittlung personenbezogener Daten in Drittländer und modernisierte Standardvertragsklauseln

• Compliance/Datenschutz/ESG
• IP-IT
• KMU

Bei der Übermittlung personenbezogener Daten in Drittländer ist es wichtig, einen angemessenen Datenschutz gemäss den geltenden Gesetzen, einschliesslich der Allgemeinen Datenschutzverordnung (DSGVO) der Europäischen Union, zu gewährleisten.

Bevor Sie personenbezogene Daten in ein Drittland übermitteln, empfehlen wir Ihnen:

• zu prüfen, ob das betreffende Drittland in den so genannten Angemessenheitsbeschlüssen der Europäischen Kommission als ein Land aufgeführt ist, das ein angemessenes Schutzniveau gewährleistet,

• falls nicht – die modernisierten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer anzuwenden.

Angesichts der jüngsten Trends in der Globalisierung von Geschäftsprozessen werden in der Praxis viele personenbezogene Daten grenzüberschreitend übermittelt, einschliesslich der Daten, die auf Servern in verschiedenen Ländern gespeichert sind. Nach der Datenschutz-Grundverordnung (DSGVO) muss bei der Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Drittländer, einschliesslich der Weiterübermittlung personenbezogener Daten von einem Drittland in ein anderes Drittland, ein angemessener Datenschutz gewährleistet werden. Der EWR umfasst übrigens 27 Mitgliedstaaten der Europäischen Union sowie Norwegen, Liechtenstein und Island.

Drittländer, die ein angemessenes Niveau des Schutzes personenbezogener Daten gewährleisten

Vor der Übermittlung personenbezogener Daten in ein Drittland sollte zunächst geprüft werden, ob das betreffende Drittland in den so genannten Angemessenheitsbeschlüssen der Europäischen Kommission als Land aufgeführt ist, das ein angemessenes Datenschutzniveau gewährleistet. So hat die Europäische Kommission beispielsweise die Schweiz, das Vereinigte Königreich, Japan und einige andere Länder als Länder anerkannt, die einen angemessenen Schutz bieten. Ausserdem kann die Europäische Kommission Drittländer von ihren Angemessenheitsbeschlüssen ausschliessen, wenn sie nach einer regelmässigen Überprüfung zu dem Schluss kommt, dass diese Länder kein angemessenes Schutzniveau mehr gewährleisten.

Modernisierte Standardvertragsklauseln als angemessene Sicherheitsvorkehrungen

Liegt kein entsprechender Angemessenheitsbeschluss vor, dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn angemessene Garantien vorgesehen sind. Zu diesen Garantien kann beispielsweise die Unterzeichnung eines Vertrags mit dem Empfänger der personenbezogenen Daten auf der Grundlage der von der Europäischen Kommission genehmigten Standardvertragsklauseln gehören.

Insbesondere hat die Europäische Kommission am 4. Juni 2021 modernisierte Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer genehmigt. Diese Klauseln können von Exporteuren und Importeuren personenbezogener Daten verwendet werden, um die Einhaltung der Datenschutzanforderungen nachzuweisen, ohne dass eine vorherige Genehmigung (für den Datentransfer oder die verwendeten Vertragsklauseln) von einer Datenschutzbehörde eingeholt werden muss. Ausserdem hat die Europäische Kommission am 25. Mai 2022 ihre praktischen Leitlinien für die Verwendung dieser neuen Standardvertragsklauseln vorgelegt.

Nach dem 27. Dezember 2022 wird es nicht mehr möglich sein, sich auf die bisherige Fassung der Standardvertragsklauseln zu berufen, um personenbezogene Daten rechtmässig in Drittländer zu übermitteln. Übrigens können die modernisierten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer von für die Verarbeitung personenbezogener Daten Verantwortlichen oder Auftragsverarbeitern, die der DSGVO unterliegen, verwendet werden, um personenbezogene Daten an für die Verarbeitung Verantwortliche oder Auftragsverarbeiter ausserhalb des EWR zu übermitteln, deren Tätigkeiten nicht der DSGVO unterliegen. Wie wir in unserem früheren Blog „Datenschutz (DSGVO): Bedeutung für Unternehmen ausserhalb der EU“ erwähnt haben, unterliegt ein Unternehmen, das nicht im EWR ansässig ist, der DSGVO und muss deren Anforderungen erfüllen, wenn dieses Unternehmen personenbezogene Daten von Personen verarbeitet, die sich im EWR aufhalten, und seine Datenverarbeitungstätigkeiten im Zusammenhang stehen mit:

• dem Angebot von Waren oder Dienstleistungen an betroffene Personen in der EU/im EWR (unabhängig davon, ob von diesen Personen eine Zahlung verlangt wird) oder

• der Überwachung ihres Verhaltens, die innerhalb der EU/des EWR stattfindet.

Somit können auch solche Nicht-EWR-Unternehmen die oben genannten Standardvertragsklauseln verwenden.

Um diese modernisierten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer anzuwenden, wählen die Parteien ein Modul aus, das ihre besondere Situation betrifft (z. B. Modul 1 für die Datenübermittlung von „für die Verarbeitung Verantwortlichen“ an „für die Verarbeitung Verantwortliche“, Modul 2 für die Datenübermittlung von „für die Verarbeitung Verantwortlichen“ an „Auftragsverarbeiter“, Modul 3 für die Datenübermittlung von „Auftragsverarbeiter“ an „für die Verarbeitung Verantwortliche“, Modul 4 für die Datenübermittlung von „für die Verarbeitung Verantwortlichen“). Ausserdem müssen die Parteien alle Anhänge zu den oben genannten Standardvertragsklauseln ordnungsgemäss ausfüllen, unter anderem mit den erforderlichen Informationen über jede der spezifischen Übermittlungen personenbezogener Daten, zum Beispiel: die Rollen der Parteien (d. h. als Datenexporteur und Datenimporteur), eine Beschreibung der Zwecke jeder einzelnen Übermittlung personenbezogener Daten, die im Rahmen des Vertrags stattfinden wird, Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden, Kategorien von übermittelten personenbezogenen Daten, die zum Schutz sensibler Daten angewandten Garantien und Beschränkungen, die Art der Verarbeitung personenbezogener Daten, die ordnungsgemäss benannte zuständige Kontrollbehörde, eine spezifische Beschreibung der technischen und organisatorischen Massnahmen, die von den Datenimporteuren zur Gewährleistung eines angemessenen Niveaus der Sicherheit personenbezogener Daten durchgeführt werden, usw.

Schlussfolgerungen

Bei der Übermittlung personenbezogener Daten in Drittländer ist es wichtig, einen angemessenen Datenschutz gemäss den geltenden Gesetzen, einschliesslich der Allgemeinen Datenschutzverordnung (DSGVO), zu gewährleisten. Bevor Sie personenbezogene Daten in ein Drittland übermitteln, empfehlen wir Ihnen:

• zu prüfen, ob das betreffende Drittland in den so genannten Angemessenheitsbeschlüssen der Europäischen Kommission als ein Land aufgeführt ist, das ein angemessenes Schutzniveau gewährleistet,

• falls nicht – die modernisierten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer anzuwenden.