Nach einem Urteil des EuGH aus dem Jahr 2015 ist das Safe Harbor Abkommen nicht mehr geeignet, ein angemessenes Datenschutzniveau in den USA herzustellen. Datenübermittlungen in die USA, die sich auf die Gültigkeit von Safe Harbor stützen, sind damit formal rechtswidrig – und das ohne Übergangsfrist. Unternehmen müssen sich daher Gedanken machen, wie mit der Situation umgegangen und Rechtskonformität hergestellt werden kann.
Zwar liegt eine Lösung auf der Hand – nämlich die Datenverarbeitung so umzustellen, dass diese künftig in Ländern mit angemessenem Datenschutzniveau stattfindet, also z. B. innerhalb Europas. Allerdings ist eine solche Umstellung nicht immer und oft schon gar nicht zeitnah möglich.
[Update: Seit Juli 2016 ist das sog. Privacy Shield beschlossen – wir berichteten. Dieses ersetzt das bisherige Safe Harbor abkommen]. Sofern Daten in die USA übermittelt werden sollen und der Datenempfänger nicht dem Privacy Shield unterfällt, kommen die EU-Standardvertragsklauseln ins Spiel. Diese waren neben Binding Corporate Rules in der Vergangenheit anerkannte Möglichkeiten, ein angemessenes Datenschutzniveau im Verhältnis zu US-Unternehmen herzustellen. Wir betrachten daher in diesem Blogbeitrag, welcher Stellenwert den EU-Standardvertragsklauseln derzeit noch zukommt und was bei deren Abschluss beachtet werden muss.
1.) Sind die EU-Standardvertragsklauseln noch wirksam?
Um es vorweg zu sagen: Eine dauerhafte Lösung werden die EU-Standardvertragsklauseln wohl nicht mehr darstellen können. Denn die Kernkritik des EuGH-Urteils lässt sich ohne weiteres auch auf die EU-Standardvertragsklauseln übertragen. Insbesondere deutsche Aufsichtsbehörden haben insoweit schon in der Vergangenheit sowohl Safe Harbor als auch die EU-Standardvertragsklauseln kritisiert und hier keinen grundsätzlichen Unterschied gesehen. Auf der anderen Seite vertreten derzeit etwa die EU-Kommission und der luxemburgische Ratsvorsitz, dass die EU-Standradvertragsklauseln (auch vor dem aktuellen Hintergrund der EuGH-Entscheidung) weiterhin gültig sind. [Update: Die Art. 29 Arbeitsgruppe hat am 16. Oktober mitgeteilt, die Wirksamkeit der EU-Standardvertragsklauseln zwar zu prüfen, geht jedoch in der Zwischenzeit grundsätzlich von deren Nutzbarkeit aus. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich am 26.10.2015 in einem abgestimmten Positionspapier grundsätzlich dieser Aussage angeschlossen. Mit der Wirksamkeit der Standardvertragsklauseln befassen sich seit Oktober 2016 sowohl der Irische High Court, als auch die EU-Kommission, genauer gesagt der Artikel 31 Ausschuss, welcher zuletzt für den Erlass des EU-US-Privacy-Shields zuständig war].
In der derzeitigen Situation kann also durchaus noch versucht werden, die Datenübermittlungen, die durch die EuGH-Entscheidung rechtswidrig geworden sind, durch Vereinbarung der EU-Standardvertragsklauseln zumindest formaljuristisch wieder zu legitimieren. Diese Möglichkeit sollte allerdings nur dann genutzt werden, wenn eine Verlagerung der Datenverarbeitung innerhalb des europäischen Raums derzeit nicht möglich ist.
2.) Auswahl der passenden EU-Standardvertragsklauseln
Sofern die EU-Standardvertragsklauseln genutzt werden sollen, gibt es verschiedene Möglichkeiten. Über die Jahre hat die Kommission EU-Standardvertragsklauseln für unterschiedliche Fallkonstellationen erarbeitet und wieder überarbeitet. Dabei wird grundsätzlich zwischen der Datenübermittlung
- von verantwortlicher Stelle zum Auftragsdatenverarbeiter (Controller/Processor) einerseits und
- von verantwortlicher Stelle zu verantwortlicher Stelle (Controller/Controller) andererseits
unterschieden.
An dieser Stelle kommt es also auf die Auswahl der richtigen Klauseln an. Dabei muss noch beachtet werden, dass es teilweise veraltete Klauseln gibt, die nicht mehr verwendet werden können. Zudem gibt es für den Fall der Datenübermittlung von verantwortlicher Stelle zu verantwortlicher Stelle (Controller/Controller) zwei gültige EU-Standardvertragsklauseln. Damit es hier nicht zu unübersichtlich wird und es nicht schon bei der Auswahl der Vertragstexte zu Fehlern kommt, finden Sie hier eine Zusammenstellung der EU-Standardverträge, die zur Auswahl stehen:
a) Controller/Processor (Auftragsdatenverarbeitung)
Zur Regelung von Auftragsdatenverarbeitungsverhältnissen steht eine Version zur Verfügung:
Hierbei ist zu beachten, dass zusätzlich in einem separaten Vertrag noch weitere Pflichten geregelt werden müssen. Denn der EU-Standardvertrag zur Auftragsdatenverarbeitung bildet nicht alle Vorgaben des § 11 BDSG eins zu eins ab. Die fehlenden Teile müssen daher in einem separaten Vertrag abgebildet werden, sofern ein solcher nicht schon existiert. Den konkreten Regelungsbedarf hatte das Bayerische Landesamt für Datenschutzaufsicht in der Vergangenheit auf seinen Internetseiten gut dargestellt. Die konkrete Seite ist jedoch mittlerweile gelöscht worden. Hier der Link zum konkreten Regelungsbedarf auf archive.org.
b) Controller/Controller (Datenübermittlung zwischen verantwortlichen Stellen)
Zur Regelung von Datenübermittlungen zwischen verantwortlichen Stellen stehen zwei alternative Versionen zur Verfügung:
- Controller/Controller Version vom 15. Juni 2001 (deutsch / englisch)
- Controller/Controller Version vom 27. Dezember 2004 (deutsch / englisch)
Welche von den beiden Alternativen genutzt werden sollte, lässt sich nur im Einzelfall entscheiden. Hier können neben Haftungsfragen auch die zu übermittelnden Datenkategorien eine Rolle spielen (dazu mehr im nächsten Punkt).
3.) Besonderheiten der Vertragstexte beachten
Sofern besondere Arten personenbezogener Daten übermittelt werden sollen, enthält insbesondere die Controller/Processor Version vom 05. Februar 2010 eine Besonderheit: Nach Klausel 4f müssen die betroffenen Personen darüber informiert werden, dass die Daten in einem Drittland verarbeitet werden. Die Controller/Controller Versionen sehen insoweit zwar zusätzliche Sicherheitsvorkehrungen vor (etwa strenge Verschlüsselung), jedoch keine Information der Betroffenen.
Die Controller/Controller Version vom 15. Juni 2001 enthält in Klausel 6 Nr. 2 eine gesamtschuldnerische Haftung von Datenimporteur und Datenexporteur. Sie ist daher in der Praxis mit Vorsicht zu genießen.
Die Controller/Controller Version vom 27. Dezember 2004 wurde hingegen im Jahr 2007 von deutschen Aufsichtsbehörden kritisiert, sofern Arbeitnehmerdaten betroffen sind. Diese Version soll demnach „grundsätzlich für Arbeitnehmerdaten nicht geeignet (und evt. ergänzungsbedürftig) [sein], da die Haftung und Auskunftspflicht des Datenexporteurs (des deutschen Arbeitgebers) eingeschränkt sind“. Es empfiehlt sich insofern, hier in einem separaten Vertrag ggf. weitere Auskunftspflichten und Haftungsregelungen zu vereinbaren.
Alle drei Vertragstexte enthalten eine Zusicherung, nach welcher der Datenimporteur (also im vorliegenden Fall das US-Unternehmen) zusichert, dass im Drittland keine Rechtsvorschriften existieren, welche die Erfüllung der Pflichten der EU-Standardvertragsklauseln unmöglich machen bzw. in gravierender Weise beeinträchtigen, etwa:
- Klausel 5 b) der Controller/Processor Version vom 05. Februar 2010;
- Klausel 5 a) der Controller/Controller Version vom 15. Juni 2001;
- Ziffer II c) der Controller/Controller Version vom 27. Dezember 2004.
Somit bieten alle drei Versionen vor dem Hintergrund der EuGH-Entscheidung an dieser Stelle die gleichen Angriffspunkte.
Diese Beispiele zeigen ganz deutlich: Die EU-Standardvertragsklauseln sollten nicht blind, sondern in jedem Einzelfall mit Bedacht ausgewählt werden. Ggf. kann es auch sinnvoll sein, Gestaltungsspielräume bei der Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung zu nutzen.
4.) Keine inhaltlichen Änderungen im Vertragstext vornehmen
In den EU-Standardverträgen müssen noch eine ganze Reihe von Ergänzungen vorgenommen werden – je nach Version etwa die Bezeichnung der Parteien, die Bezeichnung der konkreten Übermittlung (betroffene Personen, Zweck, Datenkategorien, Empfänger), die Beschreibung der technischen und organisatorischen Maßnahmen etc. Zudem sehen die EU-Standardverträge selbst teilweise Anpassungsmöglichkeiten vor, etwa im Hinblick auf Freistellungsklauseln, alternative Mechanismen zur Streitbeilegung, örtliche Gerichtszuständigkeit, Kostentragung, Beendigungsklauseln. Über die in den EU-Standardverträgen selbst vorgesehenen Anpassungen hinaus dürfen jedoch keine weiteren Anpassungen vorgenommen werden. Denn jede Anpassung gefährdet die datenschutzrechtliche Wirksamkeit der EU-Standardverträge.
5.) Vorsicht bei fremden Vorlagen – Differenzanalyse durchführen
Viele US-Unternehmen bieten Kunden von sich aus den Abschluss von „eigenen“ EU-Standardvertragsklauseln an. Hier ist Vorsicht geboten. Oft enthalten die Klauseln kleinere oder größere Anpassungen. Es sollte daher eine Differenzanalyse durchgeführt werden. Je nach Einzelfall kann dies zur Folge haben, dass der zulässige Änderungsrahmen verlassen wird und eine Genehmigung der Aufsichtsbehörde für die Datenübermittlung eingeholt werden muss. Hierfür dürften die Chancen im Augenblick schlecht stehen.
6.) Vertragspartner identifizieren
Es ist bei jedem EU-Standardvertrag notwendig, die konkreten Vertragspartner zu identifizieren. Für Datenübermittlungen, die sich bislang auf Safe Harbor stützten, wird es in der Regel aber bereits Verträge geben. Hier müsste im günstigsten Falle also schon vorgearbeitet worden sein.
7.) Schriftformerfordernis
Ob die Klauseln von den Parteien handschriftlich unterschrieben werden müssen, ist nicht ganz klar. Einige Punkte aus den Klauseln weisen hierauf hin, z. B. weil ein Unterschriftfeld vorhanden ist und teilweise davon gesprochen wird, dass die Anlagen „unterzeichnet“ werden müssen. Für die Controller/Processor Version vom 05. Februar 2010 kommt hinzu, dass diese ohnehin „schriftlich“ geschlossen werden muss, sofern sie auch zur Umsetzung der Pflichten des § 11 BDSG dienen soll. Es ist daher empfehlenswert, die Verträge durch handschriftliche Unterschriften vertretungsberechtigter Personen abzuschließen. Sollte die Zeit knapp sein, reicht es auch aus, wenn die jeweilige Partei ein unterschriebenes Exemplar der Gegenpartei erhält. Aus Gründen der Beweisbarkeit ist es jedoch besser, wenn sich die Unterschriften jeweils auf einem Original-Exemplar befinden und jede Partei ein solches erhält.
8.) Pflichten in Bezug auf Subunternehmer beachten
Sofern zur Regelung einer Auftragsdatenverarbeitung die Controller/Processor Version vom 05. Februar 2010 verwendet wird, verpflichtet sich der Datenexporteur (also die deutsche Stelle) nach Klausel 11 Abs. 4 u.a., ein jährlich zu aktualisierendes Verzeichnis der vom Datenimporteur eingesetzten Subunternehmer zu führen.
9.) Übermittlungsbefugnis prüfen
Ein angemessenes Datenschutzniveau alleine rechtfertigt noch nicht die Datenübermittlung, sondern legt insofern nur den Grundstein. Es muss vor jeder Datenübermittlung noch das Vorliegen einer Übermittlungsbefugnis geprüft werden. Dies gilt selbst in den Fällen der Auftragsdatenverarbeitung, da das Übermittlungsprivileg des § 3 Abs. 8 BDSG für die Übermittlung in außereuropäische Drittländer nicht gilt.
Dieser Punkt war in der Vergangenheit allerdings auch schon bei Datenverarbeitungen zu beachten, für die im Hinblick auf den Datenimporteur Safe Harbor angenommen wurde. Sofern es in der aktuellen Situation also darum geht, Altverträge, die von der Gültigkeit von Safe Harbor ausgingen, auf die EU-Standardvertragsklauseln umzustellen, sollte dieser Punkt daher eigentlich kein Problem darstellen (zumindest solange die Kritik des EuGH-Urteils nicht auch auf diese Ebene gehoben wird und die Interessenabwägung beeinflusst).
10.) Weitere Entwicklung beobachten
Selbst wenn alle Altverträge, die von der Gültigkeit von Safe Harbor ausgingen, auf die EU-Standardvertragsklauseln umgestellt werden, müssen sich Unternehmen klar sein:
- Hundertprozentige Rechtssicherheit kann auch hierdurch nicht erreicht werden;
- Möglicherweise werden auch die EU-Standartvertragsklauseln in nicht allzu ferner Zukunft für ungültig erklärt.
Es sollte daher insbesondere beobachtet werden, wie sich deutsche und europäische Aufsichtsbehörden in den nächsten Wochen und Monaten hierzu positionieren. Zudem sollten Unternehmen schon jetzt Alternativen prüfen, sofern auch die EU-Standardvertragsklauseln fallen sollten (z. B. Einwilligung der Nutzer, Verlagerung der Datenverarbeitung, Verschlüsselung).
Fazit
Sofern eine Verlagerung der Datenverarbeitung in die europäische Union bzw. den europäischen Wirtschaftsraum derzeit nicht möglich ist, scheint die Vereinbarung von EU-Standardvertragsklauseln momentan das Mittel der Wahl zu sein, um Datenübermittlungen, die auf der Gültigkeit von Safe Harbor basierten, wieder zu legitimieren. Nutzung und Auswahl der verschiedenen Versionen der EU-Standardverträge müssen jedoch sorgfältig vorbereitet und durchdacht sein. Ob bzw. in welcher Form die EU-Standardvertragsklauseln weiterhin für die Herstellung eines angemessenen Datenschutzniveaus geeignet sein werden, muss in Zukunft überwacht werden. Wir werden über Neuigkeiten informieren.
Bobbie
9. November 2017 @ 8:38
Vielen Dank für den sehr informativen Beitrag. Neben des Updates zur Sachlage würde mich interessieren, inwiefern die EU-Standardvertragsklausel 2010/87/EU für die Konstellation Controller/Processor mit jeweils Sitz in der EU anwendbar ist.
Auf eine Antwort hierzu würde ich mich freuen.
Sven Venzke-Caprarese
9. November 2017 @ 11:51
Hallo,
der EU-Standardvertrag soll dazu dienen, ein angemessenes Datenschutzniveau in einem „unsicheren Drittland“ herzustellen. Sofern Controller und Processor jeweils ihren Sitz in der EU haben, benötigt man grundsätzlich keinen EU-Standardvertrag, da bereits ein angemessenes Datenschutzniveau gegeben ist.
In dieser Situation benötigt man also lediglich einen Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG bzw. künftig nach Art. 28 DSGVO.
Auftragsdatenverarbeitung außerhalb der EU - Dieter Froning – IT- und Prozessberatung
20. März 2017 @ 14:14
[…] Insgesamt ist das Thema zum Abschluss eines Vertrages zur Auftragsdatenverarbeitung hoch komplex. Nützliche Hinweise, wie im Einzelfall zu verfahren ist finden sich auf der Webseite des Landesdatenschutzbeauftragten NRW unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/index.php oder auf https://www.datenschutz-notizen.de/sind-die-eu-standardvertragsklauseln-noch-wirksam-10-punkte-die-… […]
Jörg Hartgen
3. März 2016 @ 17:07
Vielen Dank für die präzise Analyse des Themas!
Es wäre sehr interessant, ein Update zu bekommen.