Das europäische und insbesondere das deutsche Datenschutzrecht setzen dem internationalen Datentransfer enge Grenzen. Während die Übermittlung von personenbezogenen Daten innerhalb Deutschlands und der EU/des EWR unter Berücksichtigung gewisser Voraussetzungen relativ unproblematisch ist, stellt die Datenübermittlung in einen Drittstaat den bzw. die Verantwortlichen für die Datenverarbeitung regelmäßig vor große Herausforderungen.

Welche Voraussetzungen gelten für den internationalen Datentransfer?

Das Bundesdatenschutzgesetz (BDSG) sieht vor, dass personenbezogene Daten innerhalb der EU und des europäischen Wirtschaftsraums (EWR) übermittelt werden dürfen, wenn die Übermittlung auf einen gesetzlichen Erlaubnistatbestand gestützt werden kann. Damit ergibt sich für Datenübermittlungen innerhalb dieses Rahmens ein eingliedriger Prüfungsablauf, der auf die grundsätzliche Zulässigkeit der Übermittlung von personenbezogenen Daten zielt. Als gesetzliche Grundlage der Datenübermittlung kommen neben spezialgesetzlichen Erlaubnisnormen, die Vorschriften des BDSG und die explizite und informierte Einwilligung des Betroffenen in Betracht.

So kann sich beispielsweise die Zulässigkeit der Übermittlung von Personaldaten eines Konzernunternehmens an ein weiteres Konzernunternehmen aus § 28 und § 32 BDSG ergeben, wenn letzteres etwa die Erstellung eines konzernweiten Mitarbeiterverzeichnis für den Gesamtkonzern vornimmt und die Übermittlung zur Erfüllung der Aufgabe notwendig ist. Bei der Beauftragung eines Dienstleisters, der Daten im Auftrag der verantwortlichen Stelle verarbeiten soll, kann der Datentransfer auf Grundlage des § 11 BDSG zulässig sein. Rein rechtlich liegt bei der Auftragsverarbeitung nach deutschem Recht keine Übermittlung vor (Fiktion der „Nicht-Übermittlung“), solange die entsprechenden Voraussetzungen, so z. B. der Abschluss eines ADV-Vertrags und die Sicherstellung geeigneter technischer und organisatorischer Maßnahmen, eingehalten werden. Dies gilt beispielsweise für die Übermittlung von E-Mail-Adressdaten an einen Newsletter-Versand-Dienstleister, der im Auftrag Newsletter an Kunden des Auftraggebers versendet. Ist die Datenübermittlung also gesetzlich zulässig, können die personenbezogenen Daten grundsätzlich ohne Weiteres transferiert werden. Dies gilt jedoch nur, wenn der Empfänger der Daten in der EU oder dem EWR ansässig ist, da der/die Gesetzgeber in diesem Fall davon ausgeht/en, dass das Datenschutzniveau am Ort des Empfängers ausreichend ist.

Für den Datentransfer in sog. Drittländer kommt somit ein weiteres Prüfkriterium hinzu. Neben der Prüfung der grundsätzlichen Zulässigkeit der Datenübermittlung, muss sichergestellt werden, dass am Ort des Datenempfängers ein ausreichendes Datenschutzniveau herrscht. Die EU-Kommission hat in Ausübung ihrer Kompetenzen einige Länder (und Territorien) identifiziert, die über ein ähnlich hohes Datenschutzniveau verfügen, wie die Mitgliedstaaten der EU und des EWR. Zu diesen Ländern gehören bspw. Argentinien, die Schweiz und Israel aber auch die Isle of Man, Guernsey und Jersey. Bei einer Datenübermittlung in eines dieser Länder muss das dort herrschende Datenschutzniveau nicht gesondert geprüft werden.

Wann werden die EU-Standardvertragsklauseln angewendet?

Für das oben genannte Beispiel bedeutet dies, dass die Übermittlung der Personaldaten eines deutschen Konzernunternehmens an die Konzernschwester in Italien ohne weiteres möglich ist, solange die Datenübermittlung generell zulässig ist. Dies gilt zum Beispiel für die Auftragsdatenverarbeitung durch ein Unternehmen innerhalb der Datenschutzgrenze der EU/des EWR.

Doch wie verhält es sich mit der Datenübermittlung an Empfänger in Drittstaaten, also Länder, die nicht oder nicht nachweisbar über ein adäquates Datenschutzniveau verfügen? Können die besagten Personaldaten auch an eine zugehörige Konzerngesellschaft in Japan übermittelt werden?

Unter gewissen Voraussetzungen können personenbezogene Daten auch in solch „unsichere Drittstaaten“ übermittelt werden. Dazu ist es allerdings notwendig, bilateral, also zwischen den Vertragsparteien, sicherzustellen, dass die europäischen Datenschutzstandards auch vom Datenempfänger eingehalten werden. Mit den EU-Standardvertragsklauseln stellt die EU-Kommission ein vorgefertigtes Vertragswerk zur Verfügung mit Hilfe dessen die entsprechende Vereinbarung der Verpflichtung auf das europäische Datenschutzniveau getroffen werden kann. Konkret bedeutet das, dass sich der Vertragspartner im „unsicheren Drittstaat“ dem EU-Datenschutzrecht unterwirft. Ist dies der Fall, so gilt das erforderliche Datenschutzniveau als sichergestellt. Die Datenübermittlung ist sodann – die grundsätzliche Zulässigkeit der Übermittlung vorausgesetzt – zwischen den beiden Vertragsparteien möglich.

Werden zwischen einem Konzernunternehmen innerhalb der EU/des EWR und einem Unternehmen des gleichen Konzernverbundes außerhalb der EU/des EWR die EU-Standardvertragsklauseln geschlossen, so ist die Übermittlung der betrieblichen Kontaktdaten der Mitarbeiter möglich, da sich der Datenempfänger dazu verpflichtet hat, die Daten unter Einhaltung der Standards und Regeln des europäischen Datenschutzrechts zu verarbeiten. Bezogen auf das Ausgangsbeispiel lässt sich festhalten, dass ein Datentransfer nach Japan unter diesen Voraussetzungen also grundsätzlich möglich ist. Die Datenschutzgrenze EU/EWR lässt sich, unter der Voraussetzung der Zulässigkeit und mit entsprechendem Mitteln somit auch überschreiten.

Welche EU-Standardvertragsklauseln für welchen Anwendungsfall?

Es existieren unterschiedliche EU-Vertragsklauseln für unterschiedliche Anwendungsfälle. Zuerst musst unterschieden werden, ob es sich hinsichtlich des Datentransfers um eine Auftragsdatenverarbeitung oder eine Funktionsübertragung handelt. Für Fälle der Funktionsübertragung (Controller-Controller) stehen zwei Varianten zur Verfügung, die sich im Wesentlichen hinsichtlich der Ausgestaltung der Haftung und der Auskunftspflichten der Vertragspartner unterscheiden. Für den Fall des Datentransfers von Beschäftigtendaten nach Japan ist das zweite (und neuere) Vertragsset u.U. nur bedingt zu verwenden, da es die Auskunftspflichten des Datenexporteurs (Arbeitgebers) einschränkt und damit aus Sicht der Aufsichtsbehörden im Kontext der Arbeitgeberpflichten unzureichend sein kann. Allerdings kann das zweite Vertragsset eingesetzt werden, wenn entsprechende Vorschriften zu Gunsten des Betroffenen (Arbeitnehmers) ergänzt werden.

Für Auftragsdatenverarbeitungen durch einen Datenempfänger in einem Drittstaat wird ein eigenständiger Vertrag (Controller-Processor) bereitgestellt.

Hinsichtlich aller Vertragswerke ist festzuhalten, dass diese nicht in einer Wiese abgeändert oder gekürzt werden dürfen, die enthaltene Garantien für die Rechte der Betroffenen umkehrt, abschwächt oder umgeht. Die EU-Standardvertragsklauseln sind in diesem Sinne recht starre Vertragswerke, die keine oder sehr wenige Anpassungsmöglichkeiten bieten und daher –mit den entsprechenden Informationen und bei Zulässigkeit – auch relativ schnell befüllt werden können.

Internationaler Datentransfer – Die EU-Standardvertragsklauseln als “Allzweckwaffe“?

Die Verwendung der EU-Standardvertragsklauseln ermöglicht den Datentransfer in Drittstaaten mit unzureichendem Datenschutzniveau. Da der Abschluss eines Vertrages zur Sicherstellung des Datenschutzniveaus mit Hilfe der Standardvertragsklauseln zudem relativ unproblematisch und verhältnismäßig schnell realisiert werden kann, dieses Vorgehen etabliert ist und eine breite Akzeptanz bei Aufsichtsbehörden innerhalb der EU und anderen Wirtschaftsteilnehmern findet, liegt der Schluss nah, dass die Standardvertragsklauseln als kleines Wundermittel des internationalen Datenverkehrs betrachtet werden können.

Zu beachten ist jedoch, dass die Verträge bilateral geschlossen werden. Bei komplexen multilateralen Konzernstrukturen, in denen ein einheitliches Datenschutzniveau sichergestellt werden soll, führt dies zu einem hohen Aufwand, da eine unübersichtliche Anzahl von einzelnen Verträgen zwischen den beteiligten Konzerngesellschaften geschlossen werden muss.

Kurzer Exkurs zu den Binding Corporate Rules:

Es kann sich regelmäßig anbieten, auch um mehr Flexibilität zu schaffen, auf die Binding Corporate Rules (BCR) auszuweichen. Die BCR sind verbindliche Richtlinien mit einem Datenschutzmanagement innerhalb eines Unternehmensverbundes, durch die personenbezogene Daten sehr flexibel zwischen den Gesellschaften transferiert werden dürfen.

Nach bisheriger Rechtspraxis existiert keine EU-weit einheitliche Handhabung der EU-Standardvertragsklauseln durch die Aufsichtsbehörden. So können durch den Abschluss von EU-Standardvertragsklauseln in einigen Mitgliedsstaaten Melde- bzw. Genehmigungspflichten ausgelöst werden. Ein weiterer Problempunkt kann sein, dass sich Unternehmen aus Drittländern partiell dem EU-Recht unterwerfen und ggf. Gegenstand von Untersuchungen durch fremdstaatliche Aufsichtsbehörden werden. Dies kann zu Akzeptanzschwierigkeiten führen. Auch sollten sich die übermittelnden Stellen stets daran erinnern, dass trotz Abschluss von EU-Standardvertragsklauseln, der erste Prüfungsschritt (Vorliegen einer Rechtsgrundlage oder informierten Einwilligungen) nicht übergangen werden darf.

Fazit

Die EU-Standardvertragsklauseln ermöglichen es Unternehmen, Daten im internationalen Kontext zu transferieren. Dabei wird, durch die Verpflichtung des Datenempfängers mittels Vertragsklauseln, ein adäquates Datenschutzniveau sichergestellt. Die EU-Standardvertragsklauseln bieten ein relativ einfach zu handhabendes und schnell abzuschließendes Vertragsinstrumentarium. Allerdings stößt das Vorgehen bei komplexeren Konzernstrukturen schnell an seine Grenzen hinsichtlich der überschaubaren Umsetzbarkeit. In diesen Fällen können die Binding Corporate Rules die richtige Lösung sein.

Ähnliche Beiträge