Zum Inhalt springen Zur Navigation springen
EU-Standardvertragsklauseln in der Praxis – Teil 1: Controller to Processor

EU-Standardvertragsklauseln in der Praxis – Teil 1: Controller to Processor

Die Verwendung von EU-Standardvertragsklauseln ist derzeit das Mittel der Wahl, um internationale Datentransfers in sogenannte „unsichere“ Drittstaaten zu rechtfertigen. In einer zweiteiligen Serie beschreiben wir den Inhalt und die Anwendung der EU-Standardverträge. Heute im ersten Teil geht es nach einer Einführung um die Klauseln für das Controller to Processor-Verhältnis.

Grundlage: Rechtliche Zulässigkeit von Datenübermittlungen ins Ausland

Die rechtliche Zulässigkeit von Datenübermittlungen ist grundsätzlich immer zweistufig zu prüfen:

  • Erste Stufe: Für die Übermittlung der Daten muss ein Erlaubnistatbestand bestehen.
  • Zweite Stufe: Beim Datenempfänger muss ein angemessenes Datenschutzniveau sichergestellt sein.

Erste Stufe: Erlaubnistatbestand

Die Anforderungen der ersten Stufe ergeben sich aus deutscher Sicht aus den §§ 4 Abs. 1, 11 und 27 ff. BDSG. Erforderlich ist also, dass die Datenübermittlung nach dem BDSG zulässig ist. Voraussetzung hierfür ist das Vorliegen eines rechtfertigenden Erlaubnistatbestandes in Form der Einwilligung oder Rechtsgrundlage.

Zweite Stufe: Datenschutzniveau

Auf der zweiten Stufe geht es um die Sicherstellung eines angemessenen Datenschutzniveaus beim Datenempfänger, vgl. § 4b BDSG.

Hat der Datenempfänger seinen Sitz in einem Mitgliedstaat der Europäischen Union (EU) oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR), so ist automatisch ein ausreichendes Datenschutzniveau sichergestellt. Daneben hat die EU-Kommission für einige nicht-EU/EWR Länder entschieden, dass deren Rechtsordnung insgesamt ein angemessenes Datenschutzniveau sicherstellt. Befindet sich der Datenempfänger in einem dieser Staaten, ist die zweite Stufe unproblematisch.

Befindet sich das die Daten empfangende Unternehmen dagegen in einem anderen Land – also in einem sogenannten „unsicheren Drittstaat“ – müssen besondere Maßnahmen getroffen werden, um ein angemessenes Datenschutzniveau sicherzustellen.

Eines der Instrumente für diesen Zweck ist der Abschluss eines Vertrages zwischen dem Datenexporteur und dem Datenimporteur mit bestimmten EU-Standardklauseln.

Zweck der EU-Standardverträge

Zweck der EU-Standardvertragsklauseln ist es also, ein angemessenes Datenschutzniveau beim Datenempfänger herzustellen.

Wichtig ist, dass der Abschluss eines EU-Standardvertrages nur für die zweite Stufe der Rechtmäßigkeitsprüfung relevant ist. Viele Unternehmen sind der Meinung, dass bei Datenübermittlungen in Drittstaaten alleine mit der Sicherstellung eines angemessenen Datenschutzniveaus allen Datenschutzanforderungen der EU Rechnung getragen wird.

Das trifft aber nicht zu. Auch wenn ein EU-Standardvertrag abgeschlossen wird, bedarf es für die Zulässigkeit der Datenübermittlung auf der ersten Stufe eines rechtfertigenden Erlaubnistatbestandes. Die beiden Stufen sind stets zu trennen und einzeln zu prüfen.

Auswahl des richtigen Klauselwerks

Soll das angemessene Datenschutzniveau durch die Verwendung eines EU-Standardvertrages sichergestellt werden, muss in einem ersten Schritt das richtige Klauselwerk / Klausel-Set ausgewählt werden.

Die EU-Kommission stellt auf ihrer Homepage drei verschiedene Klauselwerke zur Verfügung:

1. “(EU-)controller to (Non-EU/EEA-)controller”

  • Decision 2001/497/EC: Set I
  • Decision 2004/915//EC: Set II

2. “(EU-)controller to (Non-EU/EEA-)processor”

  • Decision 2010/87/EU (and repealing Decision 2002/16/EC).

Die ersten beiden Klausel-Sets (Set I und II) betreffen das Controller to Controller-Verhältnis, das dritte betrifft das Controller to Processor-Verhältnis. Es muss also zunächst entschieden werden, ob der Datenimporteur im Drittland als Controller oder Processor agiert.

„Controller“ entspricht im deutschen Recht der Begriff der „verantwortlichen Stelle“. „Processor“ ist der deutsche „Auftragsdatenverarbeiter“.

Vorliegen eines Controller to Processor-Verhältnisses

Ist das EU-Unternehmen verantwortliche Stelle und der Datenimporteur im Drittland Auftragsdatenverarbeiter, so sind die Controller-Processor-Standardvertragsklauseln die richtige Wahl. Werden dagegen Daten von einem Unternehmen in der EU an ein Unternehmen in einem Drittland übermittelt, das ebenfalls verantwortliche Stelle ist, liegt ein Controller to Controller-Transfer vor.

Maßgeblich für die Unterscheidung ist die aus dem deutschen Recht bekannte Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung. Diese Abgrenzung kann schwierig sein und erfordert eine umfassende Berücksichtigung aller Umstände.

Möglich ist auch, dass der Empfänger in Bezug auf bestimmte Daten Auftragsdatenverarbeiter (Processor) ist und in Bezug auf andere Daten selbst verantwortliche Stelle (Controller). Dann müssen gegebenenfalls mehrere Standardverträge verwendet werden.

Inhalt des Controller to Processor-Standardvertrages

Der Standardvertrag für das Controller to Processor-Verhältnis besteht stets aus drei Teilen:

  • die eigentlichen Standardvertragsklauseln
  • der Anhang 1 mit Angaben zur konkreten Datenverarbeitung und
  • der Anhang 2 mit einer Beschreibung der technischen und organisatorischen Maßnahmen des Datenimporteurs.

Wichtig ist, dass die Standardvertragsklauseln nicht ohne weiteres abgeändert werden dürfen. Die Parteien dürfen gemäß Klausel 10 die Klauseln nur um geschäftsbezogene Klauseln ergänzen, und nur insofern diese nicht im Widerspruch zu dem vorgegebenen Inhalt stehen.

Das Problem bei jeglicher Änderung besteht jedoch darin, dass die Standardvertragsklauseln nur im unveränderten Zustand genehmigungsfrei sind, d.h. nicht vor ihrem Einsatz von einer Aufsichtsbehörde genehmigt werden müssen. Sie verlieren also durch Änderungen ihren Reiz der schnellen Umsetzbarkeit.

Es ist daher empfehlenswert, die Klauseln des ersten Teils unverändert als Ergänzung zu dem eigentlichen Dienstleistungsvertrag mit dem Datenimporteur hinzuzufügen. Zudem sind die Anhänge 1 und 2 auszufüllen, die ebenfalls Bestandteil des Vertrages sind.

Im Anhang 1 sind Angaben zur konkreten Datenverarbeitung zu machen. Hier werden zunächst Angaben zu dem Datenexporteur und Datenimporteur und zu deren Tätigkeit abgefragt. Anschließend sind die betroffenen Personen, Kategorien von Daten, und – falls solche betroffen sind – besondere Datenkategorien anzugeben. Zuletzt müssen die grundlegenden Verarbeitungsmaßnahmen beschrieben werden.

Im Anhang 2 sind die technischen und organisatorischen Sicherheitsmaßnahmen darzustellen, die der Datenimporteur getroffen hat. Dieser Teil entspricht der Festlegung der technischen und organisatorischen Maßnahmen der Auftragsdatenverarbeitung im deutschen Recht, so dass der Katalog aus der Anlage zu § 9 BDSG als Grundlage verwendet werden kann.

Optional: Anhang 3 zur Erfüllung des nationalen Rechts

Schließlich kann dem Standardvertrag optional ein Anhang 3 hinzugefügt werden, in dem die Parteien ergänzende Vereinbarungen treffen, um gleichzeitig die Voraussetzungen des nationalen Rechts zu erfüllen.

Wie oben dargestellt, ist für die Rechtmäßigkeit einer Datenübermittlung neben der Herstellung eines angemessenen Datenschutzniveaus (auf der zweiten Stufe) stets das Vorliegen eines rechtfertigenden Erlaubnistatbestandes (auf der ersten Stufe) nötig.

Sollen beide Stufen in einem Vertrag kombiniert werden, kann dies beim Controller to Processor-Verhältnis durch die Aufnahme eines zusätzlichen Anhangs in den Vertrag bewerkstelligt werden. In diesem Anhang 3 sind dann alle Festlegungen zu treffen, die nötig sind, um die übrigen gesetzlichen Voraussetzungen des § 11 BDSG zu erfüllen. Dann ist der Abschluss eines zusätzlichen Vertrages zur Auftragsdatenverarbeitung für die erste Stufe entbehrlich.

Hier geht es zu Teil 2: Controller to Controller.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Benötige ich einen Erlaubnistatbestand, damit E-Mails mit Rechnungen von Dienst- oder Sachleistern an die eigene, angegebene E-Mail-Adresse von Gmail bsw. vielleicht in die USA übermittelt werden dürfen. Wenn ich bei einem deutschen Hosting-Anbieter eine E-Mail-Adresse von Gmail hinterlasse, muss ich vorher bei der Firma oder dem Unternehmen einen Erlaubnistatbestand einholen und EU-Standnardvertragsklauseln vereinbaren (Rechnungen enthalten personenbezogene Daten, Adressen.) oder kann ich diese E-Mail-Adresse ohne datenschutzrechtliche Probleme hinterlegen, um Rechnungen auf diesen wahrscheinlich US-amerikanischen Servern zu erhalten?

    • Unabhängig davon ob sich der Empfänger (hier der Provider) personenbezogener Daten innerhalb oder außerhalb des EWR befindet, wird gem. § 4 BDSG auf der ersten Stufe eine Rechtsgrundlage benötigt (siehe z.B. § 28 BDSG), welche die Übermittlung und weitere Verarbeitung gestattet. Dies ist auf § 4 BDSG zurückzuführen, welcher die Verwendung personenbezogener Daten nur dann zulässt, wenn eine Rechtsvorschrift (z.B. § 28 BDSG) dies gestattet oder der Betroffene eingewilligt hat (sog. Verbot mit Erlaubnisvorbehalt).

      Befindet sicher der Empfänger außerhalb des EWR, so muss auf der zweiten Stufe zusätzlich ein mit der EU vergleichbares Datenschutzniveau sichergestellt sein. Dies kann aktuell beispielsweise durch eine Anerkennung als sicherer Drittstaat, die Vereinbarung von EU-Standardklauseln von den Aufsichtsbehörden genehmigte Binding Corporate Rules oder bei Empfängern in den USA durch Beitritt des Empfängers zum EU/US-Privacy-Shield geschehen.

      Die vorgenannten Aussagen gelten nicht, wenn die Verwendung der personenbezogenen Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt (§ 1 Abs. 2 Nr. 3 BDSG).

  • Ich habe die gesuchte Information (wie funktioniert die zweistufige Prüfung der rechtlichen Zulässigkeit) gefunden, von daher: Vielen Dank!

    Bitte aktualisieren Sie doch die Verweise auf das (nun auch nicht mehr so) neue BDSG und die DSGVO!

    • Eine Anpassung der Verweise ist uns leider nicht ohne eine umfangreiche Überarbeitung des Beitrags möglich. Der Beitrag stammt vom 17 Oktober 2016 und wurde unter Berücksichtigung der damals geltenden Rechtslage verfasst – das BDSG in der Fassung bis zum 25. Mai 2018. Das muss bei der Betrachtung des Beitrag berücksichtigt werden.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.