Datenexport mit Standardvertragsklauseln
Wieder so ein Unwort, die Standardvertragsklauseln, auf Englisch Standard Contract Clauses (SCC). Hier ist vor allem die englische Bezeichnung wichtig, warum wirst du gleich sehen. Auch in Schritt 3 für eine datenschutzkonforme Schweizer Website wird's nochmals etwas anspruchsvoll, aber auch das wirst du schaffen.
Update: Die Europäische Kommission hat am 10.7.2023 dem Data Privacy Framework (DPF) zugestimmt. Wenn sich US-Anbieter entsprechend zertifizieren, sind keine Standardvertragsklauseln (SCC) mehr nötig. Bei anderen unsicheren Drittstaaten oder nicht zertifizierten Unternehmen sind die SSC allerdings weiterhin notwendig. Die Schweiz befindet sich noch in Verhandlung, damit der DPF angewendet werden kann.
Bis dahin gilt: Befindet sich ein Anbieter auf dieser Liste und werden die Daten in der EU / dem EWR gespeichert (das heisst, der Auftragsverarbeitungsvertrag lautet zum Beispiel auf Google Ireland Ltd. oder Amazon Data Services Ireland Ltd.), kann der Dienst schon jetzt ohne SCC genutzt werden. Ansonsten braucht es für den Export bis zum Angemessenheitsbeschluss durch den Bundesrat die SCC.
Wann sind Standardvertragsklauseln notwendig?
Wie du bereits weisst, musst du einen Auftragsverarbeitungsvertrag abschliessen, wenn du die Bearbeitung von Personendaten Dritten übergibst.
Jetzt kommt noch was dazu: Personenbezogene Daten dürfen nur in Ländern bearbeitet werden, die einen angemessenen Datenschutz gewährleisten. Europa ist also schon mal gut. Weiter findest du auf der Staatenliste des Eidgenössichen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Du ahnst es vielleicht schon, die USA bieten keinen angemessen Datenschutz.
Aber nicht verzagen, mit den Standardvertragsklauseln kannst du es trotzdem wagen. Allerdings dürfen nur diejenigen von der Europäischen Kommission verwendet werden. Diese müssen aber, wie der AVV, auf die Schweiz angepasst sein.
Drum prüfe, wer sich ewig bindet...
- Welche Personendaten werden von Dritten bearbeitet?
- Wird ein AVV angeboten (inkl. Unter-AVV)? Wenn nein > Vorsicht ist geboten.
- Befindet sich der Anbieter im Ausland und gewährleistet einen angemessenen Datenschutz? Wenn nein > Ui, ui, doppelte Vorsicht ist geboten.
- Letzte Chance: Sind Standardvertragsklauseln vorhanden, im Idealfall angepasst für die Schweiz? Vermutlich musst du mit den englischen Begriffen suchen (Standard Contract Clauses, SCC). Wenn nein > Das wird nichts, und tschüss.
Das klingt jetzt sehr streng. Auch im Datenschutz ist nicht alles schwarz-weiss, wie du unten siehst, besteht ein gewisser Spielraum.
Risikoabwägung
Die Schweiz verfolgt im Datenschutz den sogenannten risikobasierten Ansatz. Die Bearbeitung von Personendaten ist daher grundsätzlich erlaubt, sofern die Persönlichkeitsrechte nicht verletzt werden.
Bezogen auf die USA sind nicht per se alle Anbieter tabu. Es gibt zahlreiche Dienstleistungen, die jegliches Vertragswerk anbieten, wie es die europäischen und schweizerischen Gesetze fordern. Nur, die amerikanischen Behörden dürfen jederzeit den Einblick in Daten erzwingen, ohne Rechtssprechung oder Information der betroffenen Personen. Deshalb sind die USA punkto Datenschutz ein rotes Tuch.
Sind AVV und Standardvertragsklausel in der geforderten Form vorhanden, hilft eine Risikoabwägung, ob die Dienstleistung aus den USA nicht doch genutzt werden können:
- Wie gross ist die Wahrscheinlichkeit, dass Personendaten von Unbefugten eingesehen werden können?
- Falls dies geschieht, wie sehr würden dabei Persönlichkeitsrechte verletzt?
Willst du beispielsweise einen soweit konformen Newsletter-Dienst aus den USA einsetzen, könnten die Behörden in der Tat die Daten einsehen. Da du aber nur die E-Mail-Adresse übermittelst und zudem harmlose Produkte oder Dienstleistungen vermarktest, bleibt das Risiko klein, was die Verletzung der Persönlichkeitsrechte betrifft.
Noch einfacher geht's damit
Mehr Infos? Guckst du hier:
Schritt 2: Auftragsverarbeitungsverträge AVV
> Schritt 3: Standardvertragsklauseln
Hey, ich bin die Datenschützerin
... und heisse Tanja Bischofberger. Ich helfe dir, deine Website datenschutzrechtlich in Ordnung zu bringen oder zu halten. Auch wenn das vielleicht seltsam klingt, ich mag das, wie eine Detektivin nach geheimen Cookies oder schwatzhaften Tools und Plugins zu suchen und sie dingfest zu machen.