Dieser Beitrag befasst sich mit den EU-Standardvertragsklauseln im Hinblick auf externe Dienstleister. Nach positiver Klärung der Voraussetzungen, ob hier überhaupt ein Auftragsdatenverarbeitungsverhältnis vorliegt, wenden wir uns der Frage zu, was geschieht, wenn der potentielle Auftragnehmer im nicht-europäischen Ausland oder – genauer gesagt – in einem (zumindest aus europäischer Datenschutzsicht) nicht-sicheren Drittstaat sitzt und auch nicht als US-Unternehmen Safe-Harbor-zertifiziert ist.
Der Inhalt im Überblick
Auftragnehmer im nicht-sicheren Drittstaat
Ein Praxisbeispiel hierzu: Das Call-Center in Mumbai, India, das eine Kopie der Kundendatenbank erhält, um Serviceanfragen deutscher Kunden zu beantworten. Hierzu wählt der Kunde eine deutsche Festnetznummer und (abgesehen von einem vielleicht vorhandenen leichten Akzent des Agents) merkt er gar nicht, dass der Anruf nach Fernost weitergeleitet wurde.
Wie in dem vorgenannten Artikel schon angedeutet, handelt es sich dabei zumindest nach deutschem Recht gar nicht mehr um eine Auftragsdatenverarbeitung, weil Auftragnehmer die außerhalb der EU bzw. des EWR tätig werden, nicht von § 3 Abs. 8 S.3 BDSG erfasst sind und daher als Dritte angesehen werden. Dies hat zur Konsequenz, dass insoweit nie eine Auftragsdatenverarbeitung vorliegen kann. Im Hinterkopf sollte man aber behalten, dass es „faktisch“ natürlich die Merkmale einer Auftragsdatenverarbeitung behält (Outsourcing eigener Aufgabe, Weisungsgebundenheit).
Datenübermittlung nach Indien zulässig?
Jeder Datenschutzbeauftragte gerät an diesem Punkt an die Gretchenfrage des Datenschutzes: Wie halt ich es mit der Zulässigkeit der geplanten Verarbeitung? Ohne einer kompletten Zulässigkeitsprüfung vorzugreifen, ist ein zentraler Punkt die Herstellung eines angemessenen Datenschutzniveaus nach § 4b Abs. 2 Satz 2 BDSG.
EU-Standardvertragsklauseln als Lösung
Hierzu hat die Europäische Kommission bereits 2001 das Instrument der EU-Standardverträge entwickelt. Leider fehlten die Auftragdatenverarbeitungsverhältnisse in diesem Kontext, was u.a. dazu führte, dass sich die Vertragsklauseln als wenig praxisgerecht erwiesen. Mit einer Novellierung im letzten Jahr wurde das Verfahren in wesentlichen Punkten umgestellt, so dass es jetzt also zwei Arten von EU-Vertragsklauseln gibt: eine für Datenübermittlungen und eine für Auftragsdatenverarbeitungen.
Jetzt hilft es, dass wir im Hinterkopf noch hatten, dass ja faktisch ein Auftragsverhältnis besteht. Es muss daher die Variante 2 gewählt werden. Gut versteckt auf der Seite der Europäischen Kommission finden sich die Word-Dokumente in den verschiedenen europäischen Sprachen.
An der Sprachregelung der EU – es werden die Begriffe Datenexporteur und Datenimporteur verwendet, darf man sich nicht stören: Exportiert werden die Daten aus der EU, importiert in den Drittstaat. Die neuen Regelungen gelten für alle neuen Verträge ab dem 15.05.2010.
Spielregeln bei der Verwendung für Auftragsdatenverarbeitung
Wichtigster Punkt bei der Verwendung der Standardvertragsklauseln ist, dass die Klauseln selbst nicht abgeändert werden dürfen. Sie sind also unverändert zu übernehmen und als Ergänzung zu dem eigentlichen Vertrag über Dienstleistungen hinzuzufügen.
Ferner müssen die erforderlichen Angaben zur konkreten Verarbeitung gemacht werden. Hierzu ist der Anhang 1 auszufüllen und zu unterzeichnen. Neben den jeweilgen Datenex- bzw.-importeuren sind dort Angaben zu den betroffenen Kategorien von Personen und Daten sowie zu den grundlegenden Verarbeitungen zu tätigen. Entgegen zu früher ist die Bestimmung zum Schlichtungsverfahren abgeschafft worden, auch eine notarielle Beurkundung ist nicht mehr erforderlich. Die Unterschrift der jeweiligen Verantwortlichen genügt.
Ebenfalls erforderlich ist die Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur eingeführt hat, in der Anlage 2, die ebenfalls Bestandteil des Vertrages sind.
Praxistipp
Wem das bekannt vorkommt: Auch „unser“ Paragraf zur Auftragsdatenverarbeitung (§ 11 BDSG) verlangt die Festlegung der technischen und organisatorischen Maßnahmen. Es liegt also nahe, hier den Katalog aus der Anlage zu § 9 BDSG als Grundlage zu verwenden. Damit werden die Klauseln nicht unzulässigerweise abgeändert, sondern in der entsprechenden Anlage sinnvoll ergänzt.
Wichtig ist außerdem, dass durch die korrekte Verwendung „nur“ ein angemessenes Schutzniveau hergestellt wird. Unbeschadet dessen muss immer auch geprüft werden, ob die Verarbeitung an sich überhaupt zulässig ist.
Weitere Informationen
EU-Standardvertragsklauseln in der Praxis – Teil 1: Controller to Processor
EU-Standardvertragsklauseln in der Praxis – Teil 2: Controller to Controller