Serie zu den neuen Standardvertragsklauseln – Datenübermittlung vom Auftragsverarbeiter an einen Verantwortlichen (P2C)
Dies ist der letzte Artikel unserer Reihe zu den neuen Standardvertragsklauseln (SCC). Nachdem wir in den vorherigen Artikeln über die drei weiteren Situationen (C2C, C2P und P2P) bezüglich der Drittstaatenübermittlung auf Basis der SCC berichtet haben, beenden wir diese Reihe mit dem vierten und letzten Modul der SCC, der Übermittlung vom Auftragsverarbeiter an einen Verantwortlichen, der in einem Drittland ansässig ist.
Klingt kompliziert? – vielleicht hilft ein Beispiel…
Stellen wir uns vor, wir hätten ein Unternehmen in einem Drittland, das in einem Land der EU Fuß fassen möchte und deshalb plant, potentielle Kunden per Post anzuschreiben. Hierzu beauftragt das Unternehmen einen Auftragsverarbeiter in der EU, um entsprechende Adressen aus öffentlichen Verzeichnissen zu entnehmen, diese aufzubereiten und an das Unternehmen im Drittland zu übermitteln. Dann hätten wir genau die oben beschriebene Situation, dass ein Auftragsverarbeiter als Datenexporteur mit Sitz in der EU die Daten an einen Verantwortlichen (Datenimporteur) im Drittland übermittelt. Und genau für diese Fälle, für die es früher keine anwendbaren SCC gegeben hätte, können jetzt die SCC P2C herangezogen werden.
Weisungen
Wie bei jeder Auftragsverarbeitung erfolgt die Verarbeitung durch den Auftragsverarbeiter weisungsgebunden. Das Besondere an dieser Verarbeitungssituation ist jedoch, dass die Weisungen aus einem Drittstaat kommen. Der Auftragsverarbeiter (Datenexporteur) darf die Daten also nur auf Weisung des im Drittland ansässigen Verantwortlichen (Datenimporteur) verarbeiten. Diese Weisungen sind zu dokumentieren. Ob diese Dokumentation vom Datenexporteur oder Datenimporteur vorgenommen wird, ist dabei unerheblich. Man könnte jetzt meinen, es sei sinnvoll, dass der Datenexporteur, also in diesem Fall der Auftragsverarbeiter als in der EU Ansässiger diese Dokumentation führt. Allerdings trifft die Bezeichnung „Datenexporteur“ die Situation gegebenenfalls nicht vollständig korrekt, kann doch der Datenexporteur bereits ebenfalls in einem Drittstaat ansässig sein.
Die meisten Regelungen bezüglich der Weisungen entsprechen denen der anderen SCC. Sollte der Datenexporteur Weisungen nicht befolgen können, setzt er den Datenimporteur darüber in Kenntnis. Gründe dafür können z. B. sein, dass Weisungen gegen die DSGVO oder andere Datenschutzvorschriften verstoßen.
Der Datenimporteur ist verpflichtet, alles zu unterlassen, was den Datenexporteur daran hindern könnte, seinen Pflichten aus der DSGVO nachzukommen. Hier wird insbesondere auf die Pflichten im Zusammenhang mit den Unterauftragsverarbeitern und die Zusammenarbeit mit den Datenschutzaufsichtsbehörden eingegangen.
Der Datenimporteur entscheidet als Verantwortlicher, ob der Datenexporteur die Daten nach Beendigung der Verarbeitung löscht und dies dem Datenimporteur bescheinigt oder ob die Daten dem Datenimporteur ausgehändigt werden und eventuell existierende Kopien gelöscht werden.
Insgesamt fühlen sich die Regelungen für uns Datenschützer bezüglich der Weisungen “komisch“ an, da in diesem Modul 4 alle Weisungen aus einem Drittstaat kommen, also einem Staat in dem die DSGVO nicht anzuwenden ist. Hier sehen wir auch durchaus Konfliktpotenzial zwischen Auftragsverarbeiter und Verantwortlichem. Die Wahrscheinlichkeit, dass aus einem Drittstaat Weisungen erteilt werden, die gegen die DSGVO verstoßen ist ungleich höher, als wenn der Verantwortliche seinen Sitz im Geltungsbereich der DSGVO hat und dementsprechend selbst konform zur DSGVO agieren muss.
Sicherheit der Verarbeitung
Im Bereich der Sicherheit der Verarbeitung gibt es keine großen Überraschungen. Der Datenimporteur und der Datenexporteur haben zur Gewährleistung der Sicherheit, auch während der Datenübermittlung, geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten zu treffen. Dies dient der Vermeidung einer Verletzung des Schutzes der personenbezogenen Daten (Datenpanne). Dabei ist es unerheblich, ob die Datenpanne unbeabsichtigt oder unrechtmäßig erfolgt, beziehungsweise ob sie zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung dieser Daten führt.
Bei der Wahl der TOM sind neben dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zweck(en) der Verarbeitung auch die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen zu berücksichtigen. Sofern dies dem Zweck der Verarbeitung nicht entgegensteht, sind insbesondere die Verschlüsselung oder Pseudonymisierung bei der Datenübermittlung in Betracht zu ziehen.
Der Datenexporteur hat den Datenimporteur bei der Gewährleistung einer angemessenen Sicherheit der Daten zu unterstützen. Sollte dem Datenexporteur eine Datenpanne bei der Verarbeitung personenbezogener Daten bekannt werden, hat der Datenexporteur diese dem Datenimporteur unverzüglich zu melden. Bei der Behebung der Datenpanne haben sich Datenexporteur und Datenimporteur gegenseitig zu unterstützen.
Eine weitere Maßnahme ist die Pflicht des Datenexporteurs, die an der Verarbeitung der personenbezogenen Daten beteiligten Personen auf die Vertraulichkeit zu verpflichten. Sollten die Personen einer anderweitigen angemessenen Verschwiegenheitspflicht unterliegen, beispielsweise nach § 203 StGB als Rechtsanwält*in oder Ärzt*in und weiterer dort genannter, kann eine weitere Verschwiegenheitsverpflichtung unterbleiben.
Dokumentation und Einhaltung der Klauseln
Selbstverständlich gilt auch in dieser Verarbeitungssituation die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Der Verantwortliche hat dementsprechend die Einhaltung der SCC nachzuweisen. Deshalb ist eine ausreichende Dokumentation vorzunehmen. Hierzu hat der Datenexporteur dem Datenimporteur alle Informationen zur Verfügung zu stellen, die erforderlich sind, damit dieser nachweisen kann, dass die aus den SCC resultierenden Pflichten eingehalten wurden. Der Datenexporteur hat Prüfungen nicht nur zu dulden, sondern auch aktiv zu unterstützen.
Rechte der betroffenen Personen
Die Parteien haben sich gegenseitig bei der Beantwortung von Anfragen und Anträgen der betroffenen Personen zu unterstützen.
Hierbei unterliegt der Datenexporteur den Vorgaben der DSGVO, schließlich hat er seinen Sitz in EU/EWR. Für den Datenimporteur wird die Beurteilung etwas schwieriger. Das nationale Recht des Datenimporteurs ist durch diesen in jedem Fall zu beachten. Gegebenenfalls unterliegt er jedoch selbst ebenfalls den Vorgaben der DSGVO. Gemäß Definition des räumlichen Anwendungsbereichs der DSGVO findet diese Anwendung,
auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist.
Bezugnehmend auf unser oben beschriebenes Beispiel wird man zu dem Schluss kommen müssen, dass die DSGVO auch für das im Drittland ansässige Unternehmen im Hinblick auf die geplante Akquise von Neukunden im EU-Land einschlägig ist.
Lokale Rechtsvorschriften und Gepflogenheiten
Dieser Abschnitt des Modul 4 der SCC regelt erneut die aus dem Schrems-2-Urteil resultierenden Verpflichtungen im Zuge von Drittstaatenübermittlungen. Die Parteien haben sich gegenseitig zuzusichern, dass sie keinen Grund zur Annahme haben, dass bei der Verarbeitung der Daten durch den Datenimporteur nationale Rechtsvorschriften oder Gepflogenheiten des Empfängerlandes daran hindern, die aus den SCC resultierenden Pflichten erfüllen zu können. Diese Klausel zielt insbesondere darauf ab, dass solche Rechtsvorschriften und Gepflogenheiten, die Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind.
Dabei beachten sind eine die seit Schrems-2 „üblichen“ Aspekte zu betrachten. Mehr dazu finden Sie in diesem Artikel. Wichtig ist, dass diese Regeln ausschließlich für durch den Exporteur, also den Auftragsverarbeiter, in der EU erhobene Daten gilt. Alle Daten, die der Exporteur gegebenenfalls vom Verantwortlichen erhält oder erhalten hat, fallen nicht unter die Risikobetrachtung, die seit Schrems-2 notwendig ist.
Die Ausgestaltung dieser Zusammenarbeit unterscheidet sich nicht von derjenigen der
anderen Module 1-3. Der Datenimporteur hat dem Datenexporteur alle relevanten Informationen zur Verfügung zu stellen, damit dieser die Beurteilung vornehmen kann. Die Beurteilung ist zu dokumentieren und der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
Sollte der Datenimporteur nach Abschluss der SCC Grund zu der Annahme haben, dass doch nationale Rechtsvorschriften oder Gepflogenheiten des Empfängerlandes gelten, die nicht im Einklang mit den oben genannten Anforderungen stehen, hat er den Datenexporteur darüber zu informieren.
Interessant sind die folgenden Regelungen, allerdings weniger aus datenschutzrechtlichen Gründen, sondern eher, weil in der betrachteten Verarbeitungssituation der Datenexporteur als Auftragsverarbeiter tätig ist und damit eigentlich (siehe oben) weisungsgebunden tätig ist. Denn er muss, wenn eine der gerade beschriebenen Informationen erfolgt ist oder wenn er Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten aus den SCC nicht nachkommen kann, geeignete Maßnahmen ermitteln, die eine oder beide Vertragsparteien treffen müssen, um Abhilfe zu schaffen. Er hätte in letzter Konsequenz die Datenübermittlung auszusetzen, wenn er der Ansicht ist, dass keine geeigneten Garantien für die Übermittlung gewährleistet werden können. Auch die Datenschutzaufsichtsbehörde kann eine Aussetzung der Übermittlung anordnen. In allen diesen Fällen hat der Datenexporteur das Recht den Vertrag zu kündigen. Sofern mehr als zwei Parteien an einem Vertrag beteiligt sind, kann jedoch nicht der gesamte Vertrag gekündigt werden, sondern nur derjenige mit der betroffenen verantwortlichen Partei. Alternativ kann eine abweichende Vorgehensweise vereinbart werden.
Sollte es zu einer solchen Kündigung kommen, hat der Datenimporteur personenbezogene Daten, welche in der EU erhoben wurden, inklusive aller Kopien, unverzüglich vollständig zu löschen und dem Datenexporteur diese Löschung bestätigen. Sollten nationale Rechtsvorschriften für den Datenimporteur gelten, die ihm die Rückgabe oder Löschung der Daten untersagen, hat er die Einhaltung dieser Klauseln zumindest so gut wie möglich auch weiterhin sicherzustellen. Dabei darf er die Daten nur in dem Umfang und so lange verarbeiten, wie dies gemäß den betreffenden nationalen Rechtsvorschriften erforderlich ist. Auch bei der Löschung der Daten haben wir also eine veränderte Situation gegenüber „normalen“ Auftragsverarbeitungen: Der Verantwortliche unterliegt einer Löschpflicht – wenn auch nur für Daten, die ihren Ursprung in der EU hatten.
Sollte zu einem späteren Zeitpunkt ein Angemessenheitsbeschluss, für einen Drittstaat erlassen werden, kann jede Partei ihre Zustimmung widerrufen, durch die SCC gebunden zu sein.
Fazit
Dieses Modul war kein Bestandteil der „alten“ SCC. Bisher war die Übermittlung durch den Auftragsverarbeiter mit Pflichten insbesondere für diesen verbunden beziehungsweise nicht rechtssicher möglich. Durch Anwendung dieses Moduls der neuen SCC werden nun auch dem Verantwortlichen als Datenimporteur, Pflichten gegenüber dem Auftragsverarbeiter auferlegt – das ist ungewöhnlich, aber sehr zu begrüßen.
Übermitteln Sie Daten in einen Drittstaat oder haben Sie in nächster Zeit vor, eine derartige Übermittlung erstmalig durchzuführen? Vieles ist möglich, man muss es nur regeln. Rufen Sie uns gerne an, wenn Sie Unterstützung benötigen!
Dieser Artikel ist der letzte Teil unserer Reihe zu den neuen Standardvertragsklauseln. Die anderen Artikel finden Sie hier:
- Datenübermittlung zwischen Verantwortlichen (C2C)
- Datenübermittlung von einem Verantwortlichen an einen Auftragsverarbeiter (C2P)
- Datenübermittlung von Auftragsverarbeiter an einer weiteren (Unter-)Auftragsverarbeiter (P2P)
- Datenübermittlung von Auftragsverarbeiter an einen Verantwortlichen (P2C) (dieser Artikel)