Standardvertragsklauseln

Bund erleichtert die Übermittlung von Daten ins Ausland

Uhr
von Rodolphe Koller und Übersetzung von René Jaun

Der Datenschutzbeauftragte hat die europäischen Standardvertragsklauseln für die Übermittlung von Daten ins Ausland anerkannt. Schweizer Unternehmen können diese nun in Verträgen mit Lieferanten verwenden, deren Land kein angemessenes Schutzniveau bietet.

(Source: christianlue / Unsplash)
(Source: christianlue / Unsplash)

Die neuen europäischen Standardvertragsklauseln für die Übermittlung von Daten in unsichere Länder sind auch in der Schweiz gültig. Der eidgenössische Datenschutzbeauftragte (EDÖB) hat die Klauseln mit wenigen Anpassungen – anerkannt, teilt die Behörde mit.

Laut Sylvain Métille von der Anwaltskanzlei HDC fällte der EDÖB damit eine pragmatische Entscheidung, die für viele Schweizer Unternehmen eine gewisse Vereinfachung bedeuten dürfte. Auf Anfrage erläutert der Experte für Technologierecht, dass alle Unternehmen betroffen sind, die personenbezogene Daten einem ausländischen Unterauftragnehmer anvertrauen. Darunter fallen etwa Saas-Lösungen wie CRM oder HRM, aber auch Speicher- und Rechenkapazitäten in der Cloud ausländischer Anbieter. Kommt ein Anbieter aus einem Land mit angemessenem Schutzniveau – darunter fallen auch die meisten europäischen Länder – reicht ein Zuliefervertrag aus.

Europäische Vertragsklauseln leicht angepasst

Bei Anbietern aus anderen Ländern waren die Dinge bislang komplizierter. Neu können Unternehmen jedoch die europäischen Standardvertragsklauseln in die Verträge mit den ausländischen Anbietern aufnehmen. Wie Sylvain Métille erläutert, dürften diese Klauseln den Anbietern bereits bekannt sein und von ihnen ohnehin verwendet werden. Damit sie auch in der Schweiz gültig sind, braucht es lediglich einen Anhang mit einigen Details. Darin sollte etwa die Anwendbarkeit Schweizerischen Rechts festgelegt und Bezüge auf die europäische Datenschutzgrundverordnung (GDPR) durch jene auf das Schweizerische Datenschutzgesetz (DSG) ergänzt werden. Solche länderspezifischen Anhänge zu Verträgen gehören für grosse IT- und Cloud-Anbieter zur gängigen Praxis, erläutert der Rechtsanwalt.

Sonderfall USA

Viele grosse Anbieter, die personenbezogene Daten verarbeiten, haben bekanntlich ihren Hauptsitz in den USA. In ihrem Fall gestaltet sich die Situation etwas schwieriger. Denn seit dem Ausserkrafttreten des Privacy Shield auf europäischer Ebene und in der Schweiz im Jahr 2020 und vor allem mit dem Cloud Act müssen US-amerikanische Unternehmen die von ihnen verarbeiteten Daten wahrscheinlich an die US-Behörden weitergeben, auch wenn diese Daten in einer Cloud und in Rechenzentren ausserhalb ihrer Gerichtsbarkeit gehostet werden. Infolgedessen könnte ein US-Anbieter, der Standardvertragsklauseln akzeptiert, widersprüchlichen Verpflichtungen ausgesetzt sein.

Laut Sylvain Métille kann das Risiko für das Unternehmen jedoch gemindert werden, indem der Lieferant verpflichtet wird, die vertraglichen Anforderungen zu erfüllen und mitzuteilen, dass er in den letzten fünf Jahren keine personenbezogenen Daten von in der Schweiz oder in Europa ansässigen Personen liefern musste.

Überraschenderweise sind diese zusätzlichen Vorsichtsmassnahmen zwar für US-amerikanische Unternehmen notwendig, aber nicht für andere Länder, die kein angemessenes Schutzniveau bieten. Eigentlich müssten Unternehmen für jeden Lieferanten, den sie beauftragen, die spezifische Rechtsprechung des "unsicheren" Landes prüfen, findet Sylvain Métille. Für große Unternehmen mit einer Rechtsabteilung sei dies eine machbare Aufgabe, nicht aber für KMUs.

Der Technologierechtsanwalt empfiehlt dem EDÖB darum, eine Liste der Länder zu erstellen, in denen die Verwendung von Standardvertragsklauseln allein nicht ausreicht.

Das neue Schweizer Datenschutzgesetz, das Anfang 2022 in Kraft tritt, orientiert sich stark an der Datenschutzgrundverordnung der EU. Für Unternehmen, die bereits sämtliche Anforderungen der DSGVO erfüllen, gibt es deshalb nur wenig zu tun. Alle anderen sollten sich bereits heute mit den Änderungen des Datenschutzgesetzes auseinandersetzen. Was dabei zu beachten ist, erläutern Florian Prantl und Thomas Kuster von LEXR im Fachbeitrag.

Webcode
DPF8_228845