Wie wir bereits in diversen Beiträgen (hier, hier, hier und hier) berichtet haben, wurden am 4. Juni 2021 von der Europäischen Kommission die neuen Standarddatenschutzklauseln (im Folgenden „SDK“) veröffentlicht, die die bisherigen „Standardvertragsklauseln“ aus dem Jahre 2010 ersetzen sollen.
Die wesentlichen Fragen, die mit den neuen SDK einhergehen, betreffen die Prüfung, welche Datentransfers in Drittstaaten überhaupt vorliegen, und ab welchem Zeitpunkt diese neuen Klauseln verpflichtend zu verwenden sind.
Löschen oder Anonymisieren
Neben diesen großen Themen sind aber auch die kleinen Details nicht zu vernachlässigen:
So sieht Abschnitt II (Pflichten der Parteien) in Klausel 8 für das Modul 1 – Übermittlung von Verantwortlichen an Verantwortliche – u.a. die Einhaltung der Speicherbegrenzung vor. Diese regelt im Detail, dass der Datenimporteur geeignete technische und organisatorische Maßnahmen trifft, um die von der DSGVO geforderte Speicherbegrenzung sicherzustellen; hierzu zählen auch die Löschung oder Anonymisierung der betroffenen personenbezogenen Daten und aller Sicherungskopien derselben am Ende der Speicherfrist.
Diese Regelung deckt sich mit dem Positionspapier zur Anonymisierung des BfDI vom 29. Juni 2020, in welchem klargestellt wurde, dass eine Verpflichtung zur unverzüglichen Löschung durch eine Anonymisierung erfüllbar sei. Jedoch hat der BfDI ebenfalls betont, dass eine Anonymisierung eine Verarbeitung personenbezogener Daten darstelle und folglich einer Rechtsgrundlage bedürfe. Hierfür kämen u.a., je nach Kontext und Zweck der Anonymisierung, der Tatbestand der kompatiblen Weiterverarbeitung (Art. 6 Abs. 4 DSGVO i.V.m. der ursprünglichen Rechtsgrundlage), die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) oder die Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) in Betracht.
Doch was bedeutet dies nun im Hinblick auf die neuen SDK?
Das Modul 1 der SDK sieht als einziges die Pflicht des Datenimporteurs zur Einhaltung der Speicherbegrenzung mittels Löschung oder Anonymisierung vor. Die anderen 3 Module hingegen orientieren sich an dem Wortlaut des Art. 28 DSGVO, der im Rahmen der Beteiligung eines Auftragsverarbeiters lediglich die Pflicht zur Löschung oder Herausgabe der Daten (nach Wahl des jeweiligen Verantwortlichen) vorsieht. Das Recht zur Anonymisierung kann in dieser Konstellation nur einzelvertraglich zwischen den Parteien vereinbart und zum Gegenstand der Verarbeitung gemacht werden – eine generelle Möglichkeit dazu bieten die SDK in den Modulen 2-4 jedoch nicht, was dem jeweils Verantwortlichen mehr Kontrolle einräumt. Dies wäre in dieser Konstellation auch erforderlich, da der Verantwortliche die Anforderungen an die Anonymisierung und insbesondere die Validität des eingesetzten Anonymisierungsverfahrens bei dem Auftragsverarbeiter prüfen müsste.
In der Konstellation der Datenübermittlung eines Verantwortlichen an einen anderen Verantwortlichen hingegen (Modul 1) muss der verantwortliche Datenimporteur, der sich anstelle des Löschens der Daten für deren Anonymisierung entscheidet, die Anforderungen an ein solches Verfahren und dessen Validität selbst prüfen. Darüber hinaus müsste der Datenimporteur – unter Annahme der Positionierung des BfDI – eine Rechtsgrundlage für die Anonymisierung vorweisen können sowie weitere Anforderungen an die datenschutzkonforme Verarbeitung der personenbezogenen Daten erfüllen (insbesondere die Informationspflichten nach Art. 13 DSGVO und ggf. die Durchführung einer Datenschutz-Folgenabschätzung).
Keine Prüfpflicht für Datenexporteure?
Und was bedeutet dies nun für den verantwortlichen Datenexporteur – entkommt er der Prüfpflicht?
Nein! Dieser muss nämlich gemäß Klausel 8 der SDK versichern, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten aus den Klauseln (also auch 8.4 – Speicherbegrenzung) nachzukommen.
Im Ergebnis bedeutet dies, dass dem verantwortlichen Datenimporteur in diesem Modul 1 ähnliche Prüfpflichten obliegen, als hätte man im Rahmen der anderen drei Konstellationen (Module 2-4) bewusst die Anonymisierung als Teil des Verarbeitungsgegenstandes vereinbart – mit dem Unterschied, dass sich die verantwortliche Vertragspartei in den anderen drei Konstellationen mittels entsprechender Vertragsgestaltung der zeit- und arbeitsintensiven Prüfung der Anonymisierung durch den Auftragsverarbeiter/Unterauftragsverarbeiter entziehen kann. Das Modul 1 hingegen überlässt dem Datenimporteur die Entscheidung über die Anonymisierung, dem Datenexporteur obliegen die Folgepflichten aus dieser Entscheidung.
Wie gehen die Vertragsparteien also damit um, wenn die vom Datenimporteur vorgenommene Anonymisierung nicht den Anforderungen der DSGVO entspricht und eine rechtswidrige Verarbeitung personenbezogener Daten darstellt? Falls der Datenexporteur dahingehend auch seine eigenen Prüfpflichten verletzt hat, kommt eine Haftung beider Verantwortlichen in Betracht. Sofern der Datenexporteur eine nicht ordnungsgemäße Anonymisierung im Rahmen seiner Prüfung hingegen feststellt, empfiehlt sich die Anpassung oder gänzliche Unterlassung des Anonymisierungsvorgangs im Interesse beider Verantwortlichen.