Zum Inhalt springen Zur Navigation springen
EU-Standardvertragsklauseln in der Praxis – Teil 2: Controller to Controller

EU-Standardvertragsklauseln in der Praxis – Teil 2: Controller to Controller

Artikel von Sara Maier·20. Oktober 2016

Die Verwendung von EU-Standardvertragsklauseln ist derzeit das Mittel der Wahl, um internationale Datentransfers in sogenannte „unsichere“ Drittstaaten zu rechtfertigen. Im ersten Teil unserer 2-teiligen Serie haben wir den Inhalt und die Anwendung des EU-Standardvertrages für das Controller to Processor-Verhältnis beschrieben. Heute im zweiten Teil geht es um die Klauseln für das Controller to Controller-Verhältnis.

Zur Erinnerung: Zwei-Stufen-Prüfung bei Datenübermittlungen ins Ausland

Wie im ersten Teil bereits dargestellt, ist die rechtliche Zulässigkeit von Datenübermittlungen grundsätzlich immer zweistufig zu prüfen:

  • Erste Stufe: Für die Übermittlung der Daten muss ein Erlaubnistatbestand bestehen.
  • Zweite Stufe: Beim Datenempfänger muss ein angemessenes Datenschutzniveau sichergestellt sein.

EU-Standardverträge dienen dem Zweck, ein angemessenes Datenschutzniveau bei Datenempfängern in sogenannten „unsicheren Drittstaaten“ herzustellen, bei denen – nach Ansicht der EU – sonst kein angemessenes Datenschutzniveau herrscht. Wir befinden uns also auf der zweiten Stufe der Rechtmäßigkeitsprüfung.

Datenübermittlung kann auch bloßer Zugriff sein

In diesem Zusammenhang ist noch klarzustellen, dass eine „Übermittlung“ im Sinne des BDSG weder einen physischen Übergang von Daten, noch eine dauerhafte Speicherung der Daten beim Empfänger voraussetzt.

Gemäß § 3 Abs. 4 S. 1 Nr. 3 b) BDSG liegt eine Übermittlung auch dann vor, wenn der Empfänger

„zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.“

Es genügt also, wenn der Empfänger Zugriff auf die Daten hat.

Eine Übermittlung liegt damit beispielsweise auch dann vor, wenn in einem Konzern eine zentrale Kundendatenbank auf dem Server der Muttergesellschaft betrieben wird und die Tochterunternehmen auf die darin gespeicherten Kundendaten Zugriff haben. Befindet sich die Muttergesellschaft im EU-Ausland, kann der Abschluss eines EU-Standardvertrages notwendig sein.

Auswahl des richtigen Klauselwerks

Die EU-Kommission stellt auf ihrer Homepage drei verschiedene Klauselwerke der EU-Standardverträge zur Verfügung

1. “(EU-)controller to (Non-EU/EEA-)controller”

  • Decision 2001/497/EC: Set I
  • Decision 2004/915//EC: Set II

2. “(EU-)controller to (Non-EU/EEA-)processor”

  • Decision 2010/87/EU (and repealing Decision 2002/16/EC).

wovon die ersten beiden Klausel-Sets (Set I und II) das Controller to Controller-Verhältnis betreffen. Voraussetzung für deren Anwendbarkeit ist somit, dass der Datenimporteur im Drittland als Controller agiert.

Vorliegen eines Controller to Controller-Verhältnisses

Der Controller to Controller-Transfer ist in Abgrenzung zum Controller to Processor-Verhältnis zu sehen, das der deutschen Auftragsdatenverarbeitung entspricht und für das das dritte Klausel-Set gilt.

Ein Controller to Controller-Verhältnis liegt immer dann vor, wenn die Grenze zur Funktionsübertragung überschritten ist. In diesem Fall handelt der Datenimporteur im Drittland nicht als Auftragsdatenverarbeiter des datenexportierenden EU-Unternehmens, sondern ist selbst verantwortliche Stelle.

Set I oder Set II?

Die EU-Kommission stellt für das Controller to Controller-Verhältnis zwei verschiedene Klausel-Sets zur Auswahl:

  • das Set I aus dem Jahr 2001 und
  • das Set II aus dem Jahr 2004.

Unabhängig davon, dass es das „Neuere“ ist, ist das Set II auch im Übrigen in aller Regel vorzuziehen.

Die Klauseln des Sets II, die auch alternative Standardvertragsklauseln genannt werden, wurden von verschiedenen internationalen Wirtschaftsverbänden (darunter beispielsweise die Internationale Handelskammer ICC) entwickelt und anschließend von der EU-Kommission genehmigt. Sie tragen den Erfordernissen der Wirtschaft deutlich besser Rechnung.

Insbesondere sieht das Set I eine gesamtschuldnerische Haftung des Datenexporteurs und Datenimporteurs für Schäden vor, die nur eine der Parteien bei einem Betroffenen verursacht hat. Eine solche Haftungsregelung würden Vertragsparteien sonst wohl nur schwer akzeptieren. Bei Set II ist dagegen jede Partei grundsätzlich nur für selbst verursachte Schäden verantwortlich.

Dennoch sollten der Datenexporteur und Datenimporteur beide Klausel-Sets vergleichen und dann im Einzelfall das für sie passendere wählen.

Inhalt des Sets II des Controller to Controller-Standardvertrages

Da das Set II im Allgemeinen zu bevorzugen ist, soll dessen Inhalt genauer dargestellt werden. Im Grundaufbau unterscheiden sich die beiden Sets jedoch kaum voneinander.

Das Set II besteht aus drei Teilen:

  • die eigentlichen Standardvertragsklauseln
  • der Anhang A mit Grundsätzen für die Datenverarbeitung und
  • der Anhang B mit Angaben zur konkreten Datenübermittlung.

Fakultativ kann im Anschluss an Anhang B ein weiterer Anhang hinzugefügt werden, in dem die Parteien ergänzende Vereinbarungen, beispielsweise zur Kostentragung oder Streitbeilegung, treffen können.

Die eigentlichen Vertragsklauseln sind wiederum fest durch die EU vorgegeben und dürfen nicht abgeändert werden. Der Anhang A ist ebenfalls nicht abänderbar und enthält verschiedene Grundsätze für die Datenverarbeitung, wie z.B. zur Zweckbindung und Transparenz oder zu den Rechten der Betroffenen.

Im Anhang B sind von den Parteien Angaben zur konkreten Datenübermittlung zu machen. Hier werden Angaben zu den betroffenen Personen, Übermittlungszwecken, Kategorien übermittelter Daten und Empfängern abgefragt. Zudem sind – falls solche betroffen sind – die sensiblen Daten anzugeben. Daneben können die Parteien sonstige nützliche Informationen, beispielsweise zum Aufbewahrungszeitraum der Daten, eintragen. Zuletzt muss eine Anlaufstelle für Datenschutzauskünfte beim Datenexporteur und Datenimporteur genannt werden.

Notwendige Ergänzung des Sets II bei Personaldaten

Bei Verwendung des Sets II ist allerdings zu beachten, dass die deutschen Datenschutzaufsichtsbehörden dieses Klausel-Set in Bezug auf die Übermittlung von Personaldaten als für nicht ausreichend erachten.

Wie oben dargestellt, steht das datenexportierende Unternehmen bei Set II nicht für Schäden ein, die die importierende Stelle verursacht hat. Zudem besteht die Option, dass die Parteien die Beantwortung von Anfragen Betroffener auf den Datenimporteur übertragen.

Bei einer Übermittlung von Mitarbeiterdaten an eine andere verantwortliche Stelle im Ausland muss nach Ansicht der Aufsichtsbehörden aber sichergestellt sein, dass der Arbeitgeber dennoch umfassend Ansprechpartner für die Arbeitnehmer bleibt. Er muss also insbesondere weiterhin für die Erfüllung ihrer Rechte auf Auskunft, Löschung, Berichtigung, Sperrung und Schadensersatz einstehen.

Sollen Personaldaten an ein Unternehmen in einem Drittland übermittelt werden, sollte daher eine Ergänzungsvereinbarung mit dem Datenimporteur getroffen werden, um diese Anforderungen der Aufsichtsbehörden zu erfüllen. Alternativ kann für diesen Fall auch das Set I gewählt werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.