Die neuen EU-Standardvertragsklauseln für die Auftragsdatenverarbeitung in Drittländern und die Auswirkungen auf die Praxis
25.03.2010
Die EU-Kommission hat am 5.2.2010 einen Beschluss zur Aktualisierung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern gefasst. Im vorliegenden Beitrag informieren wir Sie über die Anwendung dieser Standardvertragsklauseln und die Auswirkungen des Beschlusses auf die Praxis.
Was sind EU-Standardvertragsklauseln?
Die oben benannten EU-Standardvertragsklauseln sind von der EU-Kommission gestellte Vertragsvorgaben beim Einsatz eines Auftragsdatenverarbeiters in einem so genannten Drittland. Diese Vertragsvorgaben ergänzen und präzisieren die Vertragsbedingungen über die eigentliche Leistungserbringung hinsichtlich der datenschutzrechtlich geforderten Mindeststandards. Die Rechte und Pflichten der Parteien werden geregelt und müssen unverändert übernommen werden.
EWR: keine Drittländer
Keine Besonderheiten beim grenzüberschreitenden Datenverkehr ergeben sich gemäß § 4b Abs. 1 BDSG, solange der Transfer innerhalb der Mitgliedsstaaten der EU oder des EWR (Norwegen, Liechtenstein, Island) geschieht. Besonderheiten ergeben sich, soweit der Datentransfer in ein so genanntes Drittland geplant ist.
Kurz: wie funktioniert Datentransfer in Drittländer?
Gemäß Art. 25 der EG-Datenschutzrichtlinie und § 4b Abs. 2 S. 2 des BDSG ist stets die Sicherstellung eines angemessenen Datenschutzniveaus beim Datenempfänger anzustreben. Nach den genannten Vorschriften darf ein Datentransfer in ein Drittland nicht stattfinden, wenn das angemessene Datenschutzniveau nicht sichergestellt werden kann. Es drohen dann Maßnahmen der Aufsichtsbehörde und Bußgelder gemäß §§ 43, 44 BDSG.
Welche Möglichkeiten bestehen für einen Datentransfer in Drittländer?
Der Datentransfer richtet sich insoweit nach den §§ 4b und 4c BDSG. Dabei wird in § 4b BDSG auf das angemessene Schutzniveau Bezug genommen.
Wann liegt nach der EU-Kommission ein angemessenes Schutzniveau vor?
Ein angemessenes Schutzniveau wurde von der EU-Kommission bisher für die Länder Schweiz, Kanada, Argentinien, Guernsey und Isle of Man festgestellt. Daneben ist ein angemessenes Schutzniveau bisher noch dann anzunehmen, wenn die Daten in die USA übermittelt werden sollen und der Datenempfänger dem Safe Harbor Abkommen beigetreten ist. Das Safe Harbor Abkommen befindet sich nach einer Überprüfung jedoch inzwischen in der rechtspolitischen Diskussion, so dass Veränderungen in diesem Zusammenhang möglich sind.
Zulässigkeit des Datentransfers nach § 4c BDSG
Gemäß § 4c Abs. 1 BDSG ist ein Datentransfer auch zulässig, wenn eine der dort genannten Ausnahmen einschlägig ist (es muss eine der Ausnahmen alternativ vorliegen), sollte die Stelle im Drittland kein angemessenes Datenschutzniveau aufweisen sollen. Daneben kommt gemäß § 4c Abs. 2 BDSG eine Übermittlung auch in Betracht, wenn die Aufsichtsbehörde die Übermittlung genehmigt, insbesondere wenn sich aus den Vertragsklauseln oder Unternehmensregelungen ein angemessenes Datenschutzniveau ergibt.
Genehmigung der Aufsichtsbehörden entfällt bei Entscheidung durch die EU-Kommission
Eine Genehmigung durch die Aufsichtsbehörde ist jedoch dann nicht nötig, wenn bereits die Vertragsregelungen gewählt werden, die die EU-Kommission als ausreichende Garantien anerkannt hat. Durch die Entscheidungen der EU-Kommission werden die Mitgliedsstaaten gebunden. Damit müssen die Mitgliedstaaten anerkennen, dass Unternehmen, die die EU-Standardvertragsklauseln verwenden, ein angemessenes Datenschutzniveau aufweisen. Dann ist eine Genehmigung durch die Aufsichtsbehörde entbehrlich, soweit die Aufsichtsbehörden in der Lage sind, die Verwendung der Vertragsklauseln zu überprüfen. Es wird aber insoweit als ausreichend erachtet, wenn die Vertragsklauseln der Behörde auf Anfrage vorgelegt werden. Sobald aber selbst gestaltete Vertragsklauseln verwendet werden, kann dies nicht ohne weiteres angenommen werden. Eine behördliche Genehmigung muss dann eingeholt werden.
Für wen ist die Entscheidung der Kommission relevant?
Die aktuelle Entscheidung ist relevant für alle Unternehmen, die Daten an Auftragsdatenverarbeiter zur Verfügung stellen, welche sich außerhalb der EU oder des EWR befinden (mit den oben benannten weiteren Ausnahmen).
Was ist Auftragsdatenverarbeitung?
Auftragsdatenverarbeitung liegt vor, wenn ein Unternehmen personenbezogene Daten wie z.B. Kundendaten oder Mitarbeiterdaten durch ein fremdes Unternehmen im Auftrag verarbeiten lässt. Relevante Bereiche der Auftragsdatenverarbeitung sind insoweit insbesondere Formen des IT-Outsourcings (externe Datenserver, externe Personaldatenverwaltung etc.).
Eine Auftragsverarbeitung liegt dabei nur vor, wenn der Datenempfänger die Daten nach den Weisungen des Datenexporteurs verarbeitet. Hat der Datenempfänger selbst Entscheidungsbefugnisse hinsichtlich der Art oder des Zwecks der Datenverarbeitung, so ist dieser möglicherweise selbst verantwortliche Stelle, so dass die hier besprochene Entscheidung keine Anwendung findet. In der Praxis empfiehlt sich zur Beurteilung der Frage, ob im konkreten Fall eine Auftragsdatenverarbeitung vorliegt, daher häufig die Einholung von Rechtsrat.
Die bereits bestehenden EU-Standardvertragsklauseln
Die ersten Standardvertragsklauseln für Auftragsdatenverarbeiter wurden von der EU bereits im Jahre 2001 geschaffen. Jedoch hat sich in der Praxis gezeigt, dass die Realitäten der Datenverarbeitung sowie die Anwendung gängiger Geschäftsmodelle nicht ausreichend berücksichtigt worden sind. Damit waren die EU-Standardvertragsklauseln für die Praxis oftmals nicht anwendbar. Der in der Praxis häufig vorkommende Fall, dass Daten von einem Auftragsdatenverarbeiter an einen weiteren übertragen werden sollen, wurde nicht abgedeckt. Daneben waren die bürokratischen Anforderungen relativ hoch. Gerade dies stand aber der Anwendung von Standardvertragsklauseln entgegen, da gerade diese den Umgang erleichtern sollten. Daneben bestand eine Verpflichtung zu einem Schlichtungsverfahren im Streitfall, das die Unternehmen häufig nicht anerkennen wollten.
Änderungen durch den Beschluss der Kommission
Die neuen EU-Standardvertragsklauseln schaffen nun eine Möglichkeit für den Einsatz von Unter-Auftragsdatenverarbeitern. Eine Übermittlung von Daten durch den Auftragsdatenverarbeiter an den Unter-Auftragsdatenverarbeiter kann vorgenommen werden, wenn der ursprünglich Verantwortliche der Datenverarbeitung seine schriftliche Einwilligung erklärt hat und dem Unter-Auftragsdatenverarbeiter die gleichen Pflichten auferlegt werden, die auch der originäre Datenimporteur erfüllen muss. Dabei kann auch eine Einwilligung hinsichtlich eines konkret bestimmten Empfängerkreises abgegeben werden.
Daneben wurden das in der ersten Fassung obligatorische Schlichtungsverfahren zwischen den Beteiligten abgeschafft.
Auswirkungen des Beschlusses auf die Praxis
Ab dem 15.5.2010 müssen die neuen EU-Standardvertragsklauseln genutzt werden, die alten Klauseln dürfen nicht mehr verwendet werden.
Bereits bestehende Vereinbarungen behalten ihre Gültigkeit, solange weiterhin in diesem Verhältnis Daten übermittelt werden und die Übermittlung und Verarbeitung keiner Änderung unterliegt.
Da die neuen Vertragsklauseln erst ab dem 15.5.2010 gelten, sollte – wenn in der Zwischenzeit ein Auftragsdatenverarbeitungsvertrag mit einem Auftragnehmer in einem Drittland geschlossen werden sollte – zumindest eine Übergangsregelung in den Vertrag aufgenommen werden, dass die neuen EU-Standardvertragsklauseln ab dem 15.5.2010 Gültigkeit erlangen sollen.
Fazit
Durch die Einführung neuer EU-Standardvertragsklauseln für Auftragsdatenverarbeitung in Drittländern wird der internationale Datenverkehr vereinfacht und in der Umsetzung praktikabler. Insbesondere die Aufhebung der Schiedsklausel ist zu begrüßen, da die Unterwerfung unter ein Schiedsgericht von vielen Unternehmen in der Vergangenheit abgelehnt wurde.
Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz
Telefon: 089-1891 7360
E-Mail: email@iitr.de
