EU-Standardvertragsklauseln in der Praxis – Teil 1: Controller to Processor

international 01
Fachbeitrag

Die Verwendung von EU-Standardvertragsklauseln ist derzeit das Mittel der Wahl, um internationale Datentransfers in sogenannte „unsichere“ Drittstaaten zu rechtfertigen. In einer zweiteiligen Serie beschreiben wir den Inhalt und die Anwendung der EU-Standardverträge. Heute im ersten Teil geht es nach einer Einführung um die Klauseln für das Controller to Processor-Verhältnis.

Grundlage: Rechtliche Zulässigkeit von Datenübermittlungen ins Ausland

Die rechtliche Zulässigkeit von Datenübermittlungen ist grundsätzlich immer zweistufig zu prüfen:

  • Erste Stufe: Für die Übermittlung der Daten muss ein Erlaubnistatbestand bestehen.
  • Zweite Stufe: Beim Datenempfänger muss ein angemessenes Datenschutzniveau sichergestellt sein.

Erste Stufe: Erlaubnistatbestand

Die Anforderungen der ersten Stufe ergeben sich aus deutscher Sicht aus den §§ 4 Abs. 1, 11 und 27 ff. BDSG. Erforderlich ist also, dass die Datenübermittlung nach dem BDSG zulässig ist. Voraussetzung hierfür ist das Vorliegen eines rechtfertigenden Erlaubnistatbestandes in Form der Einwilligung oder Rechtsgrundlage.

Zweite Stufe: Datenschutzniveau

Auf der zweiten Stufe geht es um die Sicherstellung eines angemessenen Datenschutzniveaus beim Datenempfänger, vgl. § 4b BDSG.

Hat der Datenempfänger seinen Sitz in einem Mitgliedstaat der Europäischen Union (EU) oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR), so ist automatisch ein ausreichendes Datenschutzniveau sichergestellt. Daneben hat die EU-Kommission für einige nicht-EU/EWR Länder entschieden, dass deren Rechtsordnung insgesamt ein angemessenes Datenschutzniveau sicherstellt. Befindet sich der Datenempfänger in einem dieser Staaten, ist die zweite Stufe unproblematisch.

Befindet sich das die Daten empfangende Unternehmen dagegen in einem anderen Land – also in einem sogenannten „unsicheren Drittstaat“ – müssen besondere Maßnahmen getroffen werden, um ein angemessenes Datenschutzniveau sicherzustellen.

Eines der Instrumente für diesen Zweck ist der Abschluss eines Vertrages zwischen dem Datenexporteur und dem Datenimporteur mit bestimmten EU-Standardklauseln.

Zweck der EU-Standardverträge

Zweck der EU-Standardvertragsklauseln ist es also, ein angemessenes Datenschutzniveau beim Datenempfänger herzustellen.

Wichtig ist, dass der Abschluss eines EU-Standardvertrages nur für die zweite Stufe der Rechtmäßigkeitsprüfung relevant ist. Viele Unternehmen sind der Meinung, dass bei Datenübermittlungen in Drittstaaten alleine mit der Sicherstellung eines angemessenen Datenschutzniveaus allen Datenschutzanforderungen der EU Rechnung getragen wird.

Das trifft aber nicht zu. Auch wenn ein EU-Standardvertrag abgeschlossen wird, bedarf es für die Zulässigkeit der Datenübermittlung auf der ersten Stufe eines rechtfertigenden Erlaubnistatbestandes. Die beiden Stufen sind stets zu trennen und einzeln zu prüfen.

Auswahl des richtigen Klauselwerks

Soll das angemessene Datenschutzniveau durch die Verwendung eines EU-Standardvertrages sichergestellt werden, muss in einem ersten Schritt das richtige Klauselwerk / Klausel-Set ausgewählt werden.

Die EU-Kommission stellt auf ihrer Homepage drei verschiedene Klauselwerke zur Verfügung:

1. “(EU-)controller to (Non-EU/EEA-)controller”

  • Decision 2001/497/EC: Set I
  • Decision 2004/915//EC: Set II

2. “(EU-)controller to (Non-EU/EEA-)processor”

  • Decision 2010/87/EU (and repealing Decision 2002/16/EC).

Die ersten beiden Klausel-Sets (Set I und II) betreffen das Controller to Controller-Verhältnis, das dritte betrifft das Controller to Processor-Verhältnis. Es muss also zunächst entschieden werden, ob der Datenimporteur im Drittland als Controller oder Processor agiert.

„Controller“ entspricht im deutschen Recht der Begriff der „verantwortlichen Stelle“. „Processor“ ist der deutsche „Auftragsdatenverarbeiter“.

Vorliegen eines Controller to Processor-Verhältnisses

Ist das EU-Unternehmen verantwortliche Stelle und der Datenimporteur im Drittland Auftragsdatenverarbeiter, so sind die Controller-Processor-Standardvertragsklauseln die richtige Wahl. Werden dagegen Daten von einem Unternehmen in der EU an ein Unternehmen in einem Drittland übermittelt, das ebenfalls verantwortliche Stelle ist, liegt ein Controller to Controller-Transfer vor.

Maßgeblich für die Unterscheidung ist die aus dem deutschen Recht bekannte Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung. Diese Abgrenzung kann schwierig sein und erfordert eine umfassende Berücksichtigung aller Umstände.

Möglich ist auch, dass der Empfänger in Bezug auf bestimmte Daten Auftragsdatenverarbeiter (Processor) ist und in Bezug auf andere Daten selbst verantwortliche Stelle (Controller). Dann müssen gegebenenfalls mehrere Standardverträge verwendet werden.

Inhalt des Controller to Processor-Standardvertrages

Der Standardvertrag für das Controller to Processor-Verhältnis besteht stets aus drei Teilen:

  • die eigentlichen Standardvertragsklauseln
  • der Anhang 1 mit Angaben zur konkreten Datenverarbeitung und
  • der Anhang 2 mit einer Beschreibung der technischen und organisatorischen Maßnahmen des Datenimporteurs.

Wichtig ist, dass die Vertragsklauseln fest durch die EU vorgegeben sind und nicht abgeändert werden dürfen. Die Klauseln des ersten Teils müssen also unverändert übernommen und als Ergänzung zu dem eigentlichen Dienstleistungsvertrag mit dem Datenimporteur hinzugefügt werden. Zudem sind die Anhänge 1 und 2 auszufüllen, die ebenfalls Bestandteil des Vertrages sind.

Im Anhang 1 sind Angaben zur konkreten Datenverarbeitung zu machen. Hier werden zunächst Angaben zu dem Datenexporteur und Datenimporteur und zu deren Tätigkeit abgefragt. Anschließend sind die betroffenen Personen, Kategorien von Daten, und – falls solche betroffen sind – besondere Datenkategorien anzugeben. Zuletzt müssen die grundlegenden Verarbeitungsmaßnahmen beschrieben werden.

Im Anhang 2 sind die technischen und organisatorischen Sicherheitsmaßnahmen darzustellen, die der Datenimporteur getroffen hat. Dieser Teil entspricht der Festlegung der technischen und organisatorischen Maßnahmen der Auftragsdatenverarbeitung im deutschen Recht, so dass der Katalog aus der Anlage zu § 9 BDSG als Grundlage verwendet werden kann.

Optional: Anhang 3 zur Erfüllung des nationalen Rechts

Schließlich kann dem Standardvertrag optional ein Anhang 3 hinzugefügt werden, in dem die Parteien ergänzende Vereinbarungen treffen, um gleichzeitig die Voraussetzungen des nationalen Rechts zu erfüllen.

Wie oben dargestellt, ist für die Rechtmäßigkeit einer Datenübermittlung neben der Herstellung eines angemessenen Datenschutzniveaus (auf der zweiten Stufe) stets das Vorliegen eines rechtfertigenden Erlaubnistatbestandes (auf der ersten Stufe) nötig.

Sollen beide Stufen in einem Vertrag kombiniert werden, kann dies beim Controller to Processor-Verhältnis durch die Aufnahme eines zusätzlichen Anhangs in den Vertrag bewerkstelligt werden. In diesem Anhang 3 sind dann alle Festlegungen zu treffen, die nötig sind, um die übrigen gesetzlichen Voraussetzungen des § 11 BDSG zu erfüllen. Dann ist der Abschluss eines zusätzlichen Vertrages zur Auftragsdatenverarbeitung für die erste Stufe entbehrlich.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.