Der Beitrag behandelt die Frage, inwieweit die von der Europäischen Kommission erlassenen Standardvertragsklauseln zur Auftragsverarbeitung den Anforderungen der Praxis gerecht werden. Nach einer kurzen Einführung (I.) und Befassung mit der „Schrems II“-Entscheidung des EuGH (II.) wird zunächst auf die mangelnde Erfüllung der Anforderungen des Art. 28 Abs. 3 DSGVO und die sich daraus ergebenden Folgen eingegangen (III.). Anschließend wird dargelegt, dass und warum der den Standardvertragsklauseln zur Auftragsverarbeitung zugrunde liegende Kommissionsbeschluss zu eng gefasst ist, sowie eine entsprechende Erweiterung des Anwendungsbereiches vorgeschlagen (IV.).

Anzeige:

INHALTSVERZEICHNIS:

I. Einführung

II. Die „Schrems II“-Entscheidung des EuGH

1. Stellungnahmen der Aufsichtsbehörden

2. Handlungsempfehlungen

III. Die Standardvertragsklauseln erfüllen nicht die Anforderungen des Art. 28 DSGVO

IV. Mangelnde Praxistauglichkeit der EU Standardvertragsklauseln zur Auftragsverarbeitung

1. Probleme bei der Einbindung von Auftragsverarbeitern in der EU

2. Probleme bei komplexen Vertragsketten

3. Lösungsvorschlag: Breite Verwendung der Standardvertragsklauseln

a) Anpassung der Standardvertragsklauseln
b) Verwendung der Standardvertragsklauseln in unveränderter Form
c) Erlass neuer Standardvertragsklauseln

V. Fazit

I. Einführung

[1] Die DSGVO stellt in Kapitel V spezielle Anforderungen an die Zulässigkeit von Datentransfers an Drittländer und an internationale Organisationen. Drittlandtransfers sind demnach grundsätzlich unzulässig, es sei denn, einer der in Art. 44 ff. DSGVO vorgesehenen Rechtfertigungsgründe greift (Verbot mit Erlaubnisvorbehalt). Für die Rechtfertigung von Datenübermittlungen an Drittland-Auftragsverarbeiter wird sehr häufig auf die von der Europäischen Kommission erlassenen Standardvertragsklauseln zur Auftragsverarbeitung aus dem Jahre 2010¹ zurückgegriffen, deren Wirksamkeit – jedenfalls dem Grunde nach – erst kürzlich vom EuGH bestätigt wurde.²  Die Standardvertragsklauseln wurden jedoch noch unter Geltung der EG-DSRL erlassen und genügen – unabhängig von den durch den EuGH erörterten Fragen zu ihrer allgemeinen Rechtskonformität – in ihrer derzeitigen Gestalt nicht den Anforderungen des globalen Datenverkehrs. Nachfolgend werden einige in der Praxis bei Standardvertragsklauseln zur Auftragsverarbeitung besonders häufig auftretende Problemstellungen und Lösungsansätze erläutert.

II. Die „Schrems II“-Entscheidung des EuGH

[2] Mitte Juli hat der EuGH in einem Vorabentscheidungsverfahren entschieden, dass die Standardvertragsklauseln grundsätzlich wirksam sind,³ da sie wirksame Mechanismen zur Sicherung eines angemessenen Schutzniveaus beim Datenimporteur enthielten.⁴ Gleichzeitig betont der EuGH, dass der Abschluss von Standardvertragsklauseln nicht in allen Situationen ausreiche, um „den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.“⁵ Es müsse sichergestellt werden, „dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 der DSGVO genannten Elemente.“⁶

[3] Künftig dürfte das Bestehen eines entsprechenden Schutzniveaus insbesondere bei Datentransfers in die USA, aber durchaus auch bei Übermittlungen in andere Länder wie beispielsweise China oder Russland, fraglich sein.⁷ Bisher wurde die Gleichwertigkeit des Schutzes für die USA verbindlich durch die Europäische Kommission im Rahmen des sog. EU-US-Privacy Shield⁸ festgestellt, soweit die Datenimporteure in den USA nach dem Privacy Shield selbstzertifiziert waren. Eben jenes Privacy Shield hat der EuGH nun für ungültig erklärt, weil US-Behörden praktisch ohne wirksame Rechtsschutzmöglichkeiten auf die Daten von Ausländern zugreifen können.⁹

[4] Entsprechende Zugriffsmöglichkeiten durch US-Behörden bestehen auch bei Rechtfertigung des Drittlandtransfers auf Grundlage von Standardvertragsklauseln, so dass es für Datenexporteure in der EU¹⁰ schwierig werden dürfte, darzulegen, dass die Rechtsordnung der USA – wie vom EuGH gefordert¹¹ – die übermittelten personenbezogenen Daten vor dem Zugriff durch die dortigen Behörden auf einem Niveau schützt, das dem in der EU gleichwertig ist.¹² Andererseits hat der EuGH – im Gegensatz zur Datenübermittlung auf Grundlage des Privacy Shield¹³ – ausdrücklich nicht dahingehend Stellung genommen, dass Datentransfers in die USA auch auf der Grundlage von Standardvertragsklauseln stets unzulässig sein sollen, sondern stellt für die Rechtfertigung des Transfers auf den konkreten Einzelfall ab.¹⁴

[5] Sollten die Standardvertragsklauseln alleine nicht ausreichen, um das vorgenannte Datenschutzniveau beim Empfänger im Drittland zu erreichen, seien „zusätzliche Maßnahmen“ zu ergreifen, „um die Einhaltung dieses Schutzniveaus zu gewährleisten“,¹⁵ beispielsweise durch Ergänzung der Standardvertragsklauseln.¹⁶ Werde das geforderte Schutzniveau beim Drittlandtransfer nicht gewahrt, sei die zuständige Aufsichtsbehörde „verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen“,¹⁷ und die „Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Standarddatenschutzklauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht durch andere Mittel gewährleistet werden kann“.¹⁸

1. Stellungnahmen der Aufsichtsbehörden

[6] Die Reaktionen auf das Urteil sind divers:  (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht