Kategorien
Neueste Beiträge
Standardvertragsklauseln und die DSGVO
Im Anschluss an das grundlegende Urteil des EuGH (siehe hierzu auch den Beitrag von RA David Seiler) zur Ungültigkeit des EU-US Privacy Shield steht die Frage im Raum, ob und ggf. wie nun die in der jeweiligen Einrichtung verwendeten US-amerikanischen und sonstigen Services aus anderen Nicht-EU-Staaten weiterhin verwendet werden können. Denn die Auswahl der EU-internen Alternativangebote stellt für viele keine Option dar. In diesem Zusammenhang hat nun die baden-württembergische Landesdatenschutzaufsichtsbehörde eine 2. Auflage ihrer Orientierungshilfe herausgegeben. Unter dem Titel „Was jetzt in Sachen internationaler Datentransfer?“ behandelt sie u. a. die Standarddatenschutzklauseln (veraltet: Standardvertragsklauseln). Diese wurden im Jahr 2010 von der Europäischen Kommission beschlossen (zum Beschluss).
Laut der Auffassung des Landesbeauftragten für Datenschutz und Informationssicherheit (LfDI) Baden-Württemberg sind diese nun anzupassen, um den Maßgaben der DSGVO sowie dem Urteil des EuGH gerecht zu werden. Wie diese Ergänzungen seiner Ansicht nach zu erfolgen hat, lesen Sie in diesem Beitrag.
Klausel 4f (Anhang)
Zunächst werden Anpassungen innerhalb der Klausel 4, welche von den Pflichten des Datenexporteurs handelt, vorgeschlagen. Deren Buchstabe f) handelt von der Übermittlung personenbezogener Daten in ein Drittland, welches kein angemessenes Schutzniveau im Sinne der DSGVO gewährleistet. In dieser Konstellation sind entgegen bisheriger Ausführungen auch Informationen gegenüber der betroffenen Personen zu erteilen, unabhängig davon, ob es sich um besondere Kategorien oder „normale“ personenbezogene Daten handelt. Dieser Informationspflicht ist vor oder schnellstmöglich nach Beginn der Datenübermittlung nachzugehen.
Klausel 5d i (Anhang)
Des Weiteren sollte nach Ansicht der LDA Baden-Württemberg die Pflicht des Datenimporteurs zur unverzüglichen (d. h. ohne schuldhaftes Zögern) Information über alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten nicht nur für den Datenexporteur gelten. Die betroffene Person ist ebenso zu behandeln, soweit diese bekannt ist. Besteht ein Verbot zur Weitergabe der Informationen, bietet die baden-württembergische Aufsichtsbehörde ihre Hilfe an. Die Ergänzung sollte auch in die Drittbegünstigungsklausel (Klausel 3) ergänzend zu Absatz 2 aufgenommen werden.
Klausel 5d (Anhang)
Der Anhang zu Klausel 5 d könnte um eine Verpflichtung des Datenimporteurs ergänzt werden. Dieser hat den Rechtsweg gegen eine Weitergabe von personenbezogenen Daten zu beschreiten und die Offenlegung der personenbezogenen Daten gegenüber den jeweiligen Behörden zu unterlassen. Dies soll bis zur letztinstanzlichen, rechtskräftigen Verurteilung zur Offenlegung vor einem zuständigen Gericht gelten.
Klausel 5h (Anhang)
Ebenfalls ergänzt werden sollte der baden-württembergischen Datenschutzaufsichtsbehörde nach Klausel 5h. Dabei geht es um eine Verpflichtung des Datenimporteurs. Dieser sollte, wenn möglich, auch den Betroffenen von der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zu benachrichtigen. Diese Ergänzung sollte auch in die Drittbegünstigungsklausel (Klausel 3) ergänzend zu Absatz 2 aufgenommen werden.
Klausel 6 (Anhang)
Darüber hinaus schlägt die Behörde vor, Klausel 6 um einen Zusatz zu erweitern. Die betroffene Person, die durch eine Pflichtverletzung (Klausel 3 oder 11) einer Partei oder durch den Unterauftragsverarbeiter Schaden erlitten hat, ist nicht nur berechtigt, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen. Diese Berechtigung soll auch gegenüber dem Datenimporteur gelten.
Vorschlag der Aufnahme einer zusätzlichen Verpflichtung des Datenimporteurs
Weiterhin sollten die Verpflichtungen des Datenimporteurs über die in Klausel 5 Vorhandenen hinaus erweitert werden. Dies betrifft die verschuldensunabhängige Freistellung des Betroffenen hinsichtlich aller Schäden, die durch den Zugriff von Stellen des Staates des Datenimporteurs auf die Daten des Betroffenen entstehen.
Vorschlag der Aufnahme des in Anhang 2 genannten Beispiels für eine Entschädigungsklausel
Schließlich ist nach Ansicht der baden-württembergischen Aufsichtsbehörde die als Beispiel vorhandene Entschädigungsklausel unverändert in die Standarddatenschutzklauseln zu übernehmen. Diese Entschädigungsklausel dient bei Verstößen zur gerechten Verteilung der Negativ-Folgen. Hat eine der Parteien widerrechtlich gehandelt und entstehen der anderen Partei hierdurch Kosten, Schäden, Ausgaben und Verluste, so hat die widerrechtlich handelnde Partei der anderen diese zu ersetzen. Der Umfang des Ersatzes beläuft sich auf den Haftungsumfang der anderen Partei. Dabei hängt die Entschädigung davon ab, dass
a) der Datenexporteur den Datenimporteur unverzüglich von einem Schadenersatzanspruch in Kenntnis setzt und
b) der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der Verteidigung in der Schadenersatzsache bzw. der Einigung über die Höhe des Schadenersatzes zusammenzuarbeiten.
Empfehlung
Leider bedeutet diese Orientierungshilfe nicht, dass diese Vorschläge lediglich zu übernehmen sind und sodann eine rechtmäßige Datenübermittlung vorliegt. Denn zum einen ist nicht klar, ob dies die Auffassung aller deutscher (Datenschutzkonferenz, DSK) oder gar der europäischen Datenschutzaufsicht (Europäischer Datenschutzausschuss, EDPB) ist. Zum anderen ist es nur die Rechtsauffassung einer Behörde (Exekutive) und damit keine verbindliche Rechtsprechung oder etwa ein Gesetz.
Das Europäische Parlament hat bekannt gegeben, dass es bis Ende des Jahres 2020 neue Standarddatenschutzklauseln geben soll.
Des Weiteren handelt es sich nicht um die ursprünglichen Standardvertragsklauseln. Diese stellen laut ihres Namens den „Standard“ dar und dürfen nicht verändert werden. Sonst verlieren sie den Status genehmigter Regelungswerke. Diese Änderungen an den Klauseln können also dazu führen, dass Sie sich nicht auf Art. 46 Abs. 2 c) DSGVO als Rechtfertigung für die Datenübermittlung in die USA berufen können und dadurch die Datenübermittlung unzulässig bleibt. Erlaubt ist, die Standardvertragsklauseln um zusätzliche, den Schutz erhöhende Klauseln zu ergänzen, aber eben nicht Bestehende abzuändern. Schließlich kommt noch die praktische Herausforderung dazu: Der US-Vertragspartner müsste sich auf die Anpassung des offiziellen EU-Vertragswerkes mit Ergänzungsvorschlägen einer einzigen Landesdatenschutzaufsicht in einem EU-Mitgliedsstaat einlassen.
Unbekannt ist, welche Ansicht die brandenburgische Datenschutzaufsichtsbehörde (LDA Brandenburg) hinsichtlich der Auffassung der baden-württembergischen Aufsichtsbehörde vertritt.
An der Rechtslage nach dem Urteil des EuGH hat sich also nichts verändert: die Datenübermittlung in die USA ist weiterhin zu unterlassen. Dies ist in der Praxis jedoch schwer umzusetzen. Falls Sie hinsichtlich der Nutzung von US-amerikanischen oder sonstigen Dienstleistern aus Drittländern Beratung und Unterstützung wünschen, melden Sie sich bei uns. Wir helfen Ihnen dabei, eine passende und rechtskonforme Lösung zu finden.