LfDI BW: Orientierungshilfe: „Was jetzt in Sachen internationaler Datentransfer?“ überarbeitet (2. Auflage)

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) hat seine Orientierungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ diese Woche überarbeitet und in einer 2. Auflage veröffentlicht (zur Erstfassung habe ich hier berichtet):

Offenbar hat die Aufsichtsbehörde insbesondere die berechtigte Kritik (vgl. dazu die Podcast-Folge mit Rechtsanwalt Paul Voigt) in Teilen berücksichtigt und spricht nun nicht mehr von „Änderungen“ der EU-Standardvertragsklauseln, sondern von Ergänzungen. Auch ist die fragwürdige Streichung der Mediationsklausel nicht mehr in dem aktuellen Dokument enthalten.

Vorgeschlagen werden bei der Verwendung von EU-Standardvertragsklauseln nun folgende Ergänzungen:

Ergänzung Anhang Klausel 4f: Information der betroffenen Person nicht nur bei der Übermittlung besonderer Datenkategorien, sondern bei jeglicher Datenübermittlung (vor oder so bald wie möglich nach der Übermittlung), dass ihre Daten in ein Drittland übermittelt werden, das kein angemessenes Schutzniveau im Sinne der Verordnung (EU) 2016/679 bietet

Ergänzung Anhang Klausel 5d i: Pflicht des Datenimporteurs, nicht nur den Datenexporteur, sondern soweit bekannt auch die betroffene Person unverzüglich zu informieren über alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten; Aufnahme dieser Ergänzung in die Drittbegünstigung, ergänzend zu Klausel 3 Abs. 2

Ist diese Informationsweitergabe anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen, müssen Sie sich mit der Aufsichtsbehörde LfDI in Verbindung setzen und das weitere Vorgehen abklären; in diesen Fällen ist der Datenimporteur zu verpflichten, regelmäßig dem Datenexporteur allgemeine Informationen über erhaltene Anfragen von Behörden zu unter diesem Vertrag verarbeitete personenbezogene Daten zur Verfügung zu stellen (zumindest Anzahl der Anträge, Art der angefragten Daten, ersuchende Stelle)

Ergänzung von Anhang Klausel 5 d um die Verpflichtung des Datenimporteurs, den Rechtsweg gegen eine Weitergabe von personenbezogenen Daten zu beschreiten und die Offenlegung der personenbezogenen Daten gegenüber den jeweiligen Behörden zu unterlassen, bis er von einem zuständigen Gericht letztinstanzlich zur Offenlegung rechtskräftig verurteilt wurde; Aufnahme dieser Ergänzung in die Drittbegünstigung, ergänzend zu Klausel 3 Abs. 2

Ergänzung von Anhang Klausel 5 h um die Verpflichtung des Datenimporteurs, soweit dieser ihm bekannt ist auch den Betroffenen von der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zu benachrichtigen; Aufnahme dieser Ergänzung in die Drittbegünstigung, ergänzend zu Klausel 3 Abs. 2

Ergänzung von Klausel 6 um den Zusatz, dass die betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, nicht nur berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen, sondern auch vom Datenimporteur.

Aufnahme einer Verpflichtung des Datenimporteurs, den Betroffenen verschuldensunabhängig von allen Schäden freizustellen, die durch den Zugriff von Stellen seines Staates auf die Daten der Betroffenen entstehen.

Das dürfte übrigens die interessanteste Ergänzung sein. Ich kann mir gut vorstellen, dass einige US-Dienstleister durchaus bereit wären, diese Klausel zu akzeptieren.

Aufnahme des in Anhang 2 genannten Beispiels für eine Entschädigungsklausel:

Haftung
Die Parteien erklären sich damit einverstanden, dass, wenn eine Partei für einen Verstoß gegen die Klauseln haftbar gemacht wird, den die andere Partei begangen hat, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist.
Die Entschädigung ist abhängig davon, dass
a) der Datenexporteur den Datenimporteur unverzüglich von einem Schadensersatzanspruch in Kenntnis setzt und
b) der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der Verteidigung in der Schadensersatzsache bzw. der Einigung über die Höhe des Schadensersatzes zusammenzuarbeiten.

Ein Teil dieser Vorschläge wird sich in der Praxis wiederum nicht durchsetzen lassen. Positiv ist, dass die Aufsichtsbehörde sich hier bewegt und auch die geäußerte Kritik annimmt, um die Orientierungshilfe zu verbessern.