Philipp Rosenauer
Partner Legal, PwC Switzerland
Viele Schweizer Unternehmen transferieren Kunden- oder Mitarbeiterdaten (oder andere Personendaten) ins Ausland, z.B. im Rahmen eines Cloud-Outsourcings. Falls die Daten in die USA oder ein anderes Land ohne (aus Schweizer Sicht) angemessenen Datenschutz gelangen, müssen gemäss dem geltenden (wie auch dem künftigen) Schweizer Datenschutzgesetz bestimmte Schutzmassnahmen vorgenommen werden. Dabei wird in der Praxis oft auf sogenannte «Standardvertragsklauseln» abgestellt. Dies sind von der Europäischen Kommission erlassene Standardvertragsklauseln («Standard Contractual Clauses», «SCC»), welche am 4. Juni 2021 erneuert wurden.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte («EDÖB») hat gemäss seiner Mitteilung vom 27. August 2021 die von der Europäischen Kommission erneuerten EU-Standardvertragsklauseln anerkannt, unter dem Vorbehalt, dass sie im konkreten Anwendungsfall an die Schweizer Verhältnisse angepasst und/oder ergänzt werden.
Gleichzeitig hat der EDÖB den Unternehmen eine Frist bis zum 1. Januar 2023 zur Erneuerung ihrer auf den alten Standardvertragsklauseln beruhenden Verträge gesetzt.
Schweizer Unternehmen sollten daher folgende Vorkehrungen treffen:
- Prüfen, ob und mit welchen Unternehmen (z.B. IT-Provider) auf den «alten» Standardvertragsklauseln beruhende Verträge abgeschlossen wurden, und
- Ersatz dieser Verträge durch die neuen Standardvertragsklauseln, mit den erforderlichen Anpassungen an die Schweiz.
Diese Vorkehrungen können aus den folgenden Gründen zeitintensiv sein:
- In der Praxis verfügen Unternehmen oft über kein zentrales Inventar solcher Verträge (unter dem künftigen revidierten Datenschutzrecht wird das Führen eines sogenannten «Verzeichnisses der Bearbeitungstätigkeiten» für viele Unternehmen Pflicht sein, was die Übersicht über solche Verträge letztlich erleichtern wird). Somit müssen diese Verträge bei den zuständigen internen (bzw. externen) Stellen erfragt und eingeholt werden.
- Gerade grössere internationale Provider haben die Standardvertragsklauseln oft in ihre Standardverträge integriert. Die Verträge richten sich zwar in der Regel auf europäische Kunden aus (d.h. unter Berücksichtigung der Vorgaben der Europäischen Datenschutzgrundverordnung), nicht aber auf den (kleineren) schweizerischen Markt. Die Erneuerung kann daher eventuell zeitintensive Nachverhandlungen mit sich bringen.
Schweizer Unternehmen sollten daher jetzt aktiv werden, um die «alten» Standardvertragsklauseln bis zum 1. Januar 2023 auf den neuen Stand zu bringen.
PwC unterstützt Schweizer Unternehmen branchenübergreifend bei der Erneuerung der Standardvertragsklauseln sowie auch bei der Implementierung des künftigen revidierten Datenschutzrechts.
#social#
Contact us
Associate | Data Privacy | ICT | Implementationᐩ, PwC Switzerland
Tel: +41 58 792 43 06