Internationaler Datentransfer kann mittels EU-Standardvertragsklauseln auch in unsichere Drittstaaten erfolgen

Der Transfer personenbezogener Daten an einen Dienstleister in einem sogenannten unsicheren Drittstaat bedarf zusätzlich zur Transfergrundlage einer eigenen Datenschutzgarantie. Für US-Dienstleister kann hier seit dem 1. August 2016 auf das EU-US-Privacy-Shield zurückgegriffen werden, sofern sich der gewünschte Dienstleister (bereits) entsprechend verpflichtet hat. Für datenverarbeitende Dienstleister in anderen unsicheren Drittländern wie z. B. China oder Indien muss auch weiterhin auf die sogenannten EU-Standardvertragsklauseln zurückgegriffen werden. Der Beitrag zeigt auf, in welchen Konstellationen ein Abschluss der Klauseln möglich und sinnvoll ist und was dabei insbesondere aus deutscher Sicht zu beachten ist.

Wozu dienen Standardvertragsklauseln?

Möchte ein Unternehmen Daten an ein anderes Unternehmen weitergeben, bedarf es für diese Weitergabe stets einer eigenen Rechtsgrundlage sowie eines adäquaten Datenschutzrechts im Land des datenempfangenden Unternehmens.

Als Rechtsgrundlage infrage kommen insbesondere die Erforderlichkeit zur Durchführung eines Vertrags mit dem Betroffenen (z. B. Weitergabe an ein vom Betroffenen gebuchtes Hotel durch das Reisebüro, § 28 Abs. 1 S. 1 Nr. 1 Bundesdatenschutzgesetz [BDSG]), ein überwiegendes Unternehmensinteresse (z. B. bei der Erstellung eines konzernweiten Telefonverzeichnisses durch die datenempfangende Konzernmutter, § 28 Abs. 2 Nr. 2a BDSG) oder eine ausdrückliche Einwilligung des Betroffenen (z. B. in die Bonitätsprüfung eines Onlineshops durch eine Auskunftei, § 4 Abs. 1, 3 i. V. m. § 4a Abs. 1 BDSG).

Zusätzliche Herausforderungen können sich dem datenweitergebenden Unternehmen dann stellen, wenn die Daten vom datenempfangenden Unternehmen in einem sogenannten unsicheren Drittstaat ohne adäquates Datenschutzrecht verarbeitet werden sollen. Hierbei handelt es sich um Staaten außerhalb der EU und des EWR, die kein dem europäischen Recht vergleichbares Datenschutzniveau aufweisen. Zu diesen Ländern zählen auch die bedeutsamen Datenverarbeiter-Länder USA, China und Indien. Bei einer Datenverarbeitung in diesen Ländern sind die Daten des Betroffenen erhöhten Datenschutzrisiken ausgesetzt. Erteilt der Betroffene daher nicht mittelbar (wie beim Datentransfer zum Zwecke der Vertragsdurchführung) oder ausdrücklich (wie bei einer ausreichend informativen Einwilligungserklärung) sein Einverständnis in den Datenexport in ein solches Drittland, muss er durch zusätzliche Maßnahmen geschützt werden. Eine solche zusätzliche Maßnahme stellt insbesondere der Abschluss der Standardvertragsklauseln dar.

Was sind Standardvertragsklauseln?

Bei den Standardvertragsklauseln handelt es sich um von der Europäischen Kommission verabschiedete Vertragswerke. Unterzeichnet der Datenimporteur einen solchen Standardvertrag, verpflichtet er sich damit auf die Einhaltung europäischer Datenschutzstandards. Standardvertragsklauseln gibt es für zwei verschiedene Konstellationen:

In der einen Konstellation sollen Daten an ein Unternehmen weitergegeben werden, das – so, wie auch das weitergebende Unternehmen selbst – für die (weitere) Verarbeitung der Daten verantwortlich ist. Hierbei kann es sich zum Beispiel um die außereuropäische Konzernmutter des weitergebenden Unternehmens handeln, wenn diese ein konzernweites Telefonverzeichnis anlegen möchte und hierfür die entsprechenden Daten der Mitarbeiter der deutschen Tochter braucht. Als Rechtsgrundlage kommen hier u. U. die berechtigten Interessen der Mutter an einer Datenweitergabe infrage. Durch Unterzeichnen der Standardvertragsklauseln verpflichtet sich die Mutter darauf, die weitergebebenen Daten nach denselben Datenschutzstandards zu verarbeiten, denen auch ihre Tochter als Arbeitgeberin der betroffenen Mitarbeiter unterliegt.

In der zweiten Konstellation sollen Daten an ein Unternehmen gegeben werden, das die Daten nicht wie die Konzernmutter eigenverantwortlich, sondern als Dienstleister (z.B. Cloud-Dienstleister) – nur auf Weisung des weitergebenden Unternehmens – verarbeiten soll. Ein solches Verhältnis deutet auf eine Auftragsdatenverarbeitung hin. Diese ist jedoch, folgt man dem Wortlaut des deutschen Bundesdatenschutzgesetzes, mit Dienstleistern außerhalb des EU-/ EWR-Raums derzeit nicht möglich. Das Gesetz ist an der entsprechenden Stelle (§ 3 Abs. 8 S. 3 BDSG) unglücklich formuliert – und wurde bis heute nicht korrigiert. Eine Änderung der Gesetzeslage wird es erst mit der ab 2018 geltenden EU-Datenschutz-Grundverordnung geben.

Auftragsdatenverarbeitung mit außereuropäischen Dienstleistern – der Standardvertrag als Krücke

Dass es sich bei der deutschen Begrenzung der Auftragsdatenverarbeitung auf den EU-/ EWR-Raum aller Voraussicht nach um einen Gesetzesfehler handelt, ist auch den deutschen Aufsichtsbehörden bewusst. Sie verweisen in einer gemeinsamen Stellungnahme auf die zahlreiche Parallelen zwischen den gesetzlichen Anforderungen an einen deutschen Auftragsdatenverarbeitungsvertrag und den Inhalten des Dienstleister-Standardvertrags. Das Regierungspräsidium Darmstadt (das bis 1. Juli 2011 die hessische Datenschutzaufsichtsbehörde für den nichtöffentlichen Bereich war) sieht die gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung nach deutschem Recht zum Teil erfüllt, wenn der Dienstleister-Standardvertrag abgeschlossen wird.

Diese Feststellung der ehemaligen Datenschutzaufsichtsbehörde ist aus rechtsdogmatischer Sicht sehr bedenklich, da hier die Ebene der rechtlichen Übermittlungsgrundlage mit der Selbstverpflichtung des datenempfangenden Unternehmens auf ein europäisches Datenschutzniveau vermischt wird. Aus Unternehmenssicht ist diese Vermischung der Behörden jedoch sehr zu begrüßen, da sich aus ihr im Ergebnis der Standardvertrag als „neuer Auftragsdatenverarbeitungsvertrag“ entpuppt. Was nach deutschem Recht also eigentlich nicht geht, soll aus Sicht der Behörden durch die europäischen Standardvertragsklauseln – die eigentlich einem ganz anderen Zweck dienen – möglich sein.

Oft übersehen: Aufsichtsbehörden verlangen Ergänzungen zum Standardvertrag

So einfach soll es dann aber doch nicht sein. Bei den Standardvertragsklauseln handelt es sich um ein vorgefertigtes Vertragswerk, das, um wirksam zu sein, zunächst einmal nur ausgefüllt, nicht jedoch individuell angepasst werden darf. Erlaubt sind nach der Aussage der Europäischen Kommission lediglich auftragsspezifische Ergänzungen, solange diese den vorgefertigten Regelungen des Vertrags nicht widersprechen.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI) verlangt in Anlehnung an die oben erwähnte Gegenüberstellung des Düsseldorfer Kreises, dass der Standardvertrag (mindestens) um Vertragselemente ergänzt wird, die das deutsche Recht für die Auftragsdatenverarbeitung vorsieht, die jedoch im vorgefertigten Text fehlen bzw. nur rudimentär geregelt sind. Hierbei handelt es sich insbesondere um Regelungen zur Genehmigung bereits eingesetzter Subdienstleister des Datenimporteurs, zum Inhalt, zum Umfang und zur Dauer der Datenverarbeitung, zu den Betroffenenrechten und zum Weisungsrecht des Datenexporteurs. Entsprechende Regelungen sollen den Vorstellungen der Aufsichtsbehörden zufolge entweder in den Annex 1 zum Standardvertrag in den dortigen Punkt „Processing operations“ („Verarbeitung“) aufgenommen oder aber in einer Zusatzvereinbarung festgehalten werden.

Sensible Daten dürfen auch mittels Standardvertragsklauseln nur in bestimmten Fällen transferiert werden

Das Regierungspräsidium Darmstadt, das mit seiner Stellungnahme zu den Standardvertragsklauseln wohl einen der ersten wirtschaftsfreundlichen Akzente setzte, ist sich der vorgenommenen Vermischung der sogenannten ersten Prüfstufe (Rechtsgrundlage für den Datentransfer als solchen) und der zweiten Stufe (Sicherstellung eines ausreichenden Datenschutzniveaus) wohl bewusst. Die weitgehende Deckungsgleichheit der Regelungen der Vertragsklauseln mit dem deutschen Auftragsdatenverarbeitungsvertrag soll dem Regierungspräsidium zufolge daher nur im Rahmen einer Interessenabwägung zwischen datentransferierendem Unternehmen und den schutzwürdigen Interessen des Betroffenen „berücksichtigt“ werden. Faktisch sendet die Behörde damit jedoch ein klares Signal, dass eine Auftragsdatenverarbeitung mit außereuropäischen Dienstleisters über die Standardvertragsklauseln möglich ist, sobald eine Datenweitergabe – unabhängig vom Exportland – zulässig ist.

Eine Interessenabwägung scheidet allerdings aus, wenn sensible Daten im Sinne von § 3 Abs. 9 BDSG transferiert werden sollen, da in diesem Fall besondere gesetzliche Übermittlungsvoraussetzungen (§ 28 Abs. 6-9 BDSG) beachtet werden müssen. Sofern die Datenübertragung daher nicht zur Abwicklung des Vertragsverhältnisses erforderlich ist und der Betroffene auch nicht in rechtskonformer Weise in den Datentransfer eingewilligt hat, scheidet dieser in den meisten Fällen aus. Für den Fall, dass eine Datenweitergabe doch (ausnahmeweise) möglich ist, verlangt der Standardvertrag darüber hinaus in Klausel 4f, dass

„die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet“.

Rechtskonformer Transfer von Mitarbeiterdaten auf Basis von Standardvertragsklauseln: kritisch, aber nicht unmöglich

Neben der Übermittlung der gesetzlich definierten sensiblen Datenkategorien erweist sich auch eine Übermittlung von Mitarbeiterdaten als kritisch. Denn auch bei Mitarbeiterdaten erlaubt das Gesetz – zumindest auf den ersten Blick – keine Interessenabwägung. Der bundesdatenschutzrechtliche Mitarbeiterparagraph (§ 32 BDSG) gestattet eine Datenverarbeitung nur, wenn diese zur Abwicklung des Arbeitsverhältnisses oder zur Aufdeckung von Straftaten des Mitarbeiters erfolgen soll. Beides ist jedoch meist auch möglich, ohne, dass die Daten an einen Dienstleister (insbesondere an einen außereuropäischen) übertragen werden. Eine Einwilligung als Rechtsgrundlage scheidet als Übermittlungsgrundlage meist ebenfalls aus, da diese frei widerruflich wäre und die Rechtswirksamkeit aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer von Behörden angezweifelt wird.

Die im bundesdatenschutzrechtlichen Mitarbeiterparagraphen fehlende Interessenabwägungsnorm ist wirtschaftsschädlich und widerspricht dem Anliegen der Europäischen Kommission sowie – wie oben gezeigt – auch der deutschen Aufsichtsbehörden, den Datenaustausch mit außereuropäischen Dienstleistern zu ermöglichen. Es ist daher sinnvoll, wie auch bei innereuropäischen Datentransfers, zumindest für den Austausch nichtsensibler Mitarbeiterdaten (Beispiel: konzernweites Telefonverzeichnis), eine Interessenabwägung als Rechtsgrundlage (§§ 28 Abs. 1 S. 1 Nr. 2, 28 Abs. 2 Nr. 2a BDSG) gelten zu lassen. Die sichere Alternative bleibt freilich der Einsatz eines europäischen Dienstleisters – sofern am Markt vorhanden.

Fazit: Datenaustausch mit außereuropäischen Dienstleistern erfordert Fingerspitzengefühl

Die Verarbeitung personenbezogener Daten durch einen Dienstleister in einem unsicheren Drittland ist – auch, wenn es auf den ersten Blick anders scheint – in sehr vielen Fällen rechtskonform möglich. Die deutschen Datenschutzbehörden erkennen eine Auftragsdatenverarbeitung mit außereuropäischen Dienstleistern auf Basis der Standardvertragsklauseln faktisch als Möglichkeit an. Dies sollte grundsätzlich auch für Mitarbeiterdaten gelten, solange keine sensiblen Daten betroffen sind. Letztere dürfen ohne ausreichend informierte Einwilligung des Betroffenen nur in den engen Grenzen des § 28 Abs. 6-9 BDSG exportiert werden.

Bitte bewerten Sie diese Inhalte!
[19 Bewertung(en)/ratings]

 

Zuerst veröffentlicht am 6. Mai 2015, zuletzt aktualisiert am 5. September 2016