Zum Inhalt springen Zur Navigation springen
Rückübertragung ins Drittland: Was muss der Auftragsverarbeiter tun?

Rückübertragung ins Drittland: Was muss der Auftragsverarbeiter tun?

Was ein Verantwortlicher in der EU beim Einsatz eines Auftragsverarbeiters im Drittland zu beachten hat, ist soweit bekannt. Die umgekehrte Konstellation wirft einige Fragen auf, die auch von den Aufsichtsbehörden noch nicht abschließend geklärt sind. Wir haben uns die Thematik angeschaut und eine Handlungsempfehlung bei der Aufsichtsbehörde eingeholt.

Bisherige Rechtslage

Nach dem noch aktuellen BDSG war diese Konstellation für den Auftragsverarbeiter kaum problematisch. Zum einen haftete er nicht neben dem Auftraggeber und zum anderen wurde von den Aufsichtsbehörden vertreten, dass die Bestimmungen zum Drittlandtransfer (§§ 4b, 4c BDSG) bei einer Rückübertragung der personenbezogenen Daten durch den Auftragsverarbeiter an die Verantwortliche Stelle keine Anwendung finden.

Hat beispielsweise ein Unternehmen mit Sitz in China ein cloudbasiertes Personalmanagement System eines deutschen Anbieters eingesetzt, mussten die zusätzlichen Voraussetzungen des Drittlandtransfers aus § 4b BDSG nicht eingehalten werden. Und das obwohl der deutsche Anbieter die personenbezogenen Daten in verarbeiteter Weise nach China rücküberträgt.

Nach Argumentation der Aufsichtsbehörden ist der Auftragnehmer in Deutschland kein Dritter, denn die Rückausnahme des § 3 Abs. 8 S. 3 BDSG greife nur dann nicht wenn der Auftragnehmer im Drittland sitzt.

Handelt es sich bei dem Auftragnehmer in Deutschland nicht um einen Dritten, liegt letztlich auch keine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG vor. Fehlt es an der Übermittlung, finden die §§ 4b und 4c BDSG keine Anwendung mehr.

Auch wenn diese Ansicht unter dogmatischen Gesichtspunkten etwas fraglich ist und an eine analoge Anwendung offensichtlich nicht gedacht wurde, konnte sich der Auftragnehmer doch sicher fühlen. Schließlich handelt es sich um die offizielle Stellungnahme der Aufsichtsbehörden.

Was ändert sich?

Wie die Konstellation nach der Datenschutz-Grundverordnung (DSGVO) zu beurteilen ist, wurde von den Aufsichtsbehörden noch nicht abschließend festgestellt.

Klar ist jedoch, dass auch nach der Datenschutz-Grundverordnung Auftragsverarbeiter keine Dritten sind (Art. 4 Abs. 10 DSGVO), aber nach der Legaldefinition des Art. 4 Abs. 9 DSGVO eben dennoch Empfänger. Eine dem BDSG ähnliche Privilegierung von in der EU ansässigen Auftragsverarbeitern ist in der Datenschutz-Grundverordnung nicht mehr zu finden.

In der noch laufenden Untersuchung soll zunächst geklärt werden, ob die Vorschriften für den Drittlandtransfer (Art. 44 ff. DSGVO) überhaupt zu Anwendung kommen, wenn die Regelungen der Datenschutz-Grundverordnung gemäß Art. 3 DSGVO auch für den Auftraggeber greifen.

Kommen die Aufsichtsbehörden zur Anwendbarkeit oder greift die DSGVO für den Auftraggeber nicht, stellt sich aber noch ein ganz anderes Problem, dass von den Aufsichtsbehörden bislang noch nicht begutachtet wurde.

Nach Art. 46 Abs. 2 lit. b) DSGVO können die Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden, als geeignete Garantie dienen.

Schaut man jedoch in den Beschluss zu den Standarddatenschutzklauseln steht dort in Art. 2:

„Der vorliegende Beschluss gilt für die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Europäischen Union niedergelassen sind, an Empfänger außerhalb der Europäischen Union, die ausschließlich als Auftragsverarbeiter fungieren.“

Im Grunde müsste man diese also auf die andere, nicht umfasste Konstellation umformulieren. Dann ist jedoch fraglich, ob man sich auf sie weiterhin nach Art. 46 Abs. 2 lit. b) DSGVO berufen kann.

Die Handlungsempfehlung der Aufsichtsbehörde NRW

Nach einem Telefonat mit einer Mitarbeiterin der Landesdatenschutzbeauftragten von NRW haben wir folgende Empfehlung bekommen:

  1. Auf jeden Fall sollte der Auftragsverarbeiter einen Auftragsverarbeitungsvertrag mit dem Verantwortlichen im Drittland schließen.
  2. Die Standarddatenschutzklauseln können im Wortlaut verwendet werden und müssen nicht umformuliert werden.

Was denken Sie?

Die geschilderte Konstellation wurde auch von den Aufsichtsbehörden noch nicht abschließend durchdacht. Zunächst wird man mit der Handlungsempfehlung den sichersten Weg gehen. Wie die Situation nach einer umgehenden Untersuchung aussehen wird, ist noch nicht zu prognostizieren. Was meinen Sie, wir freuen uns über jeden Input.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Vielen Dank für den Beitrag. Zu dem Thema Rückübermittlung im Rahmen der DS-GVO habe ich bislang ansonsten nichts gefunden.
    Mir ist die Aussage der Aufsichtsbehörde NRW nicht ganz klar. Die Standarddatenschutzklauseln passen doch schon bei den Parteienbezeichnungen „Datenexporteur“ und „Datenimporteur“ nicht mehr. Müsste man diese nicht (insbesondere beim Pflichtenkatalog) genau umdrehen?

    • Grundsätzlich haben Sie Recht, dass die Standardvertragsklauseln inhaltlich nicht vollumfänglich auf die beschriebene Konstellation passen. Es lässt sich allerdings argumentieren, dass der eigentliche Auftragsverarbeiter mit Sitz in der EU in eine quasi „Verantwortlicher“ Rolle fällt und für die Rückübertragung in das Drittland dann als Datenexporteur anzusehen ist. Die Lösung ist auch unseres Erachtens nicht optimal und rechtsdogmatisch fraglich. Die Thematik wird unseres Wissens von den Aufsichtsbehörden aktuell noch abschließend geprüft und die Standardvertragsklauseln sollen sich in Überarbeitung befinden.

      • Vielen Dank!
        Zu einem anderen Aspekt: ich frage mich – wie Sie bereits selber geschrieben haben – auch, ob die Art. 44 ff. DS-GVO überhaupt anwendbar sind, wenn ein Fall des Art. 3 Abs. 2 DS-GVO vorliegt. Meines Erachtens dürften z.B. die Garantien nach Art. 46 DS-GVO hinter dem Schutzniveau zurückbleiben, das die DS-GVO über die Direktanwendung nach Art. 3 Abs. 2 DS-GVO selber garantiert. Insofern würden die zusätzlichen Einschränkungen der Art. 44 ff. m.E. keinen Mehrwert bringen.

        • Mit dieser Einschätzung bin ich ganz bei Ihnen. Grundsätzlich soll gem. Art. 44 DSGVO die Übermittlung nur dann zulässig sein, wenn der Verantwortliche und der Auftragsverarbeiter auch die sonstigen Bestimmungen der DSGVO einhalten. Ein direkte Anwendung der DSGVO, insbesondere mit den Bußgeldvorschriften, würde sicherlich ein höheres Schutzniveau zur Folge haben.

  • Gibt es hierzu ein Update nach dem DSK KP Nr. 4 aus 12/2018?
    Was ist wenn der Auftraggeber mit Sitz in den USA Daten in Deutschland verarbieten und dann durch den Deutschen Auftragnehmer an ein verbundenes jedoch rechtlich selbständiges Unternehmen in China übertragen lässt?

  • Der European Data Protection Board hat zu der Konstellation inzwischen Stellung genommen. Seite 10/11 in diesem Link
    https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf

    • Vielen Dank für den Hinweis. Das EDSA Papier stellt klar, dass die DSGVO für den Auftraggeber nicht greift. Es ist bedauernswert, dass in dem Papier dogmatische Ausführungen dazu fehlen, wieso (nur) die genannten Teilvorgaben der DSGVO für den Verarbeiter in Europa einschlägig seien sollen.

  • Welche Voraussetzungen müssen eingehalten werden, wenn die Verantwortliche ihren Sitz innerhalb der EU hat, jedoch ein Mitarbeiter der Verantwortlichen in einem Drittland beschäftigt wird und dieser aus dem Drittland auf die personenbezogenen Daten im Rahmen seiner Tätigkeit zugreift?

    • Danke für diese durchaus relevante Nachfrage. Tatsächlich ist die datenschutzrechtliche Einordnung des von Ihnen geschilderten Sachverhalts nicht eindeutig. Legt man den Begriff der „Übermittlung“ aus Art. 44 DSGVO zugrunde, eröffnet jeder Zugriff aus dem Drittland den Anwendungsbereich der Norm. Konsequenterweise müsste daher auch bei einer Verantwortlichen innerhalb der EU, deren Beschäftigte sich aber teilweise im Drittland befinden, ein angemessenes Datenschutzniveau hergestellt werden.

      In der Praxis stellt sich allerdings bei Fehlen eines Angemessenheitsbeschlusses das Problem, dass beispielsweise der Abschluss von EU-Standardvertragsklauseln vor erheblichen Problemen steht, wenn es keine zweite Partei für den Vertragsschluss gibt. Um ein (unzulässiges) In-Sich-Geschäft zu vermeiden, vertreten verschiedene Aufsichtsbehörden etwa den Weg, den Inhalten der Standarddatenschutzklauseln nicht durch Vertragsschluss, sondern über eine einseitige „Garantieerklärung“ zur Geltung zu verhelfen.

      Gerne verweise ich auch auf unseren entsprechenden Blogartikel zu diesem – nach wie vor nicht zufriedenstellend geregelten – Thema.

  • In diesem Zusammenhang dürfte auch die vom EDSA am 19.11.2021 veröffentlichte (noch in der Konsultation befindliche) Stellungnahme zur Frage, wann genau ein Datentransfer vorliegt, relevant sein, vgl. https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-052021-interplay-between-application_en. Hier wird explizit ein Datentransfer i.S.d. Art. 44 ff. DSGVO im Fall der Rückübermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortliche im Drittländern angenommen – auch wenn es sich z.B. ausschließlich um Daten von US-Bürgern handelt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.