Rückübertragung ins Drittland: Was muss der Auftragsverarbeiter tun?

Fachbeitrag

Was ein Verantwortlicher in der EU beim Einsatz eines Auftragsverarbeiters im Drittland zu beachten hat, ist soweit bekannt. Die umgekehrte Konstellation wirft einige Fragen auf, die auch von den Aufsichtsbehörden noch nicht abschließend geklärt sind. Wir haben uns die Thematik angeschaut und eine Handlungsempfehlung bei der Aufsichtsbehörde eingeholt.

Bisherige Rechtslage

Nach dem noch aktuellen BDSG war diese Konstellation für den Auftragsverarbeiter kaum problematisch. Zum einen haftete er nicht neben dem Auftraggeber und zum anderen wurde von den Aufsichtsbehörden vertreten, dass die Bestimmungen zum Drittlandtransfer (§§ 4b, 4c BDSG) bei einer Rückübertragung der personenbezogenen Daten durch den Auftragsverarbeiter an die Verantwortliche Stelle keine Anwendung finden.

Hat beispielsweise ein Unternehmen mit Sitz in China ein cloudbasiertes Personalmanagement System eines deutschen Anbieters eingesetzt, mussten die zusätzlichen Voraussetzungen des Drittlandtransfers aus § 4b BDSG nicht eingehalten werden. Und das obwohl der deutsche Anbieter die personenbezogenen Daten in verarbeiteter Weise nach China rücküberträgt.

Nach Argumentation der Aufsichtsbehörden ist der Auftragnehmer in Deutschland kein Dritter, denn die Rückausnahme des § 3 Abs. 8 S. 3 BDSG greife nur dann nicht wenn der Auftragnehmer im Drittland sitzt.

Handelt es sich bei dem Auftragnehmer in Deutschland nicht um einen Dritten, liegt letztlich auch keine Datenübermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG vor. Fehlt es an der Übermittlung, finden die §§ 4b und 4c BDSG keine Anwendung mehr.

Auch wenn diese Ansicht unter dogmatischen Gesichtspunkten etwas fraglich ist und an eine analoge Anwendung offensichtlich nicht gedacht wurde, konnte sich der Auftragnehmer doch sicher fühlen. Schließlich handelt es sich um die offizielle Stellungnahme der Aufsichtsbehörden.

Was ändert sich?

Wie die Konstellation nach der Datenschutz-Grundverordnung (DSGVO) zu beurteilen ist, wurde von den Aufsichtsbehörden noch nicht abschließend festgestellt.

Klar ist jedoch, dass auch nach der Datenschutz-Grundverordnung Auftragsverarbeiter keine Dritten sind (Art. 4 Abs. 10 DSGVO), aber nach der Legaldefinition des Art. 4 Abs. 9 DSGVO eben dennoch Empfänger. Eine dem BDSG ähnliche Privilegierung von in der EU ansässigen Auftragsverarbeitern ist in der Datenschutz-Grundverordnung nicht mehr zu finden.

In der noch laufenden Untersuchung soll zunächst geklärt werden, ob die Vorschriften für den Drittlandtransfer (Art. 44 ff. DSGVO) überhaupt zu Anwendung kommen, wenn die Regelungen der Datenschutz-Grundverordnung gemäß Art. 3 DSGVO auch für den Auftraggeber greifen.

Kommen die Aufsichtsbehörden zur Anwendbarkeit oder greift die DSGVO für den Auftraggeber nicht, stellt sich aber noch ein ganz anderes Problem, dass von den Aufsichtsbehörden bislang noch nicht begutachtet wurde.

Nach Art. 46 Abs. 2 lit. b) DSGVO können die Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden, als geeignete Garantie dienen.

Schaut man jedoch in den Beschluss zu den Standarddatenschutzklauseln steht dort in Art. 2:

„Der vorliegende Beschluss gilt für die Übermittlung personenbezogener Daten durch für die Verarbeitung Verantwortliche, die in der Europäischen Union niedergelassen sind, an Empfänger außerhalb der Europäischen Union, die ausschließlich als Auftragsverarbeiter fungieren.“

Im Grunde müsste man diese also auf die andere, nicht umfasste Konstellation umformulieren. Dann ist jedoch fraglich, ob man sich auf sie weiterhin nach Art. 46 Abs. 2 lit. b) DSGVO berufen kann.

Die Handlungsempfehlung der Aufsichtsbehörde NRW

Nach einem Telefonat mit einer Mitarbeiterin der Landesdatenschutzbeauftragten von NRW haben wir folgende Empfehlung bekommen:

  1. Auf jeden Fall sollte der Auftragsverarbeiter einen Auftragsverarbeitungsvertrag mit dem Verantwortlichen im Drittland schließen.
  2. Die Standarddatenschutzklauseln können im Wortlaut verwendet werden und müssen nicht umformuliert werden.

Was denken Sie?

Die geschilderte Konstellation wurde auch von den Aufsichtsbehörden noch nicht abschließend durchdacht. Zunächst wird man mit der Handlungsempfehlung den sichersten Weg gehen. Wie die Situation nach einer umgehenden Untersuchung aussehen wird, ist noch nicht zu prognostizieren. Was meinen Sie, wir freuen uns über jeden Input.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Auftragsdatenverarbeitung

4 Kommentare zu diesem Beitrag

  1. Vielen Dank für den Beitrag. Zu dem Thema Rückübermittlung im Rahmen der DS-GVO habe ich bislang ansonsten nichts gefunden.
    Mir ist die Aussage der Aufsichtsbehörde NRW nicht ganz klar. Die Standarddatenschutzklauseln passen doch schon bei den Parteienbezeichnungen „Datenexporteur“ und „Datenimporteur“ nicht mehr. Müsste man diese nicht (insbesondere beim Pflichtenkatalog) genau umdrehen?

    • Grundsätzlich haben Sie Recht, dass die Standardvertragsklauseln inhaltlich nicht vollumfänglich auf die beschriebene Konstellation passen. Es lässt sich allerdings argumentieren, dass der eigentliche Auftragsverarbeiter mit Sitz in der EU in eine quasi „Verantwortlicher“ Rolle fällt und für die Rückübertragung in das Drittland dann als Datenexporteur anzusehen ist. Die Lösung ist auch unseres Erachtens nicht optimal und rechtsdogmatisch fraglich. Die Thematik wird unseres Wissens von den Aufsichtsbehörden aktuell noch abschließend geprüft und die Standardvertragsklauseln sollen sich in Überarbeitung befinden.

      • Vielen Dank!
        Zu einem anderen Aspekt: ich frage mich – wie Sie bereits selber geschrieben haben – auch, ob die Art. 44 ff. DS-GVO überhaupt anwendbar sind, wenn ein Fall des Art. 3 Abs. 2 DS-GVO vorliegt. Meines Erachtens dürften z.B. die Garantien nach Art. 46 DS-GVO hinter dem Schutzniveau zurückbleiben, das die DS-GVO über die Direktanwendung nach Art. 3 Abs. 2 DS-GVO selber garantiert. Insofern würden die zusätzlichen Einschränkungen der Art. 44 ff. m.E. keinen Mehrwert bringen.

        • Mit dieser Einschätzung bin ich ganz bei Ihnen. Grundsätzlich soll gem. Art. 44 DSGVO die Übermittlung nur dann zulässig sein, wenn der Verantwortliche und der Auftragsverarbeiter auch die sonstigen Bestimmungen der DSGVO einhalten. Ein direkte Anwendung der DSGVO, insbesondere mit den Bußgeldvorschriften, würde sicherlich ein höheres Schutzniveau zur Folge haben.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.