LfDI BW: Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?

Aufsichtsbehörden
Die Aufsichtsbehörde hat ihre Orientierungshilfe am 07.09.2020 aktualisiert. Einen aktuellen Beitrag dazu findest du hier.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) hat gestern eine Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? (PDF) veröffentlicht.

Nach dem „Schrems II“-Urteil des EuGH fragen wir uns alle ja eigentlich, welche zusätzlichen Schutzmaßnahmen wir bei der Verwendung von EU-Standardvertragsklauseln (in der „Processors“-Variante) mit US-Dienstleistern wir denn verwenden können, um den Anforderungen des EuGH gerecht zu werden.

Sehr positiv, dass die Aufsichtsbehörde von Baden-Württemberg hier als erste Aufsichtsbehörde konkrete Empfehlungen veröffentlicht. Die finden sich auf den Seiten 8 – 10 der Orientierungshilfe.

Vorgeschlagen werden allerdings nicht nur Ergänzungen der EU-Standardvertragsklauseln, sondern auch Änderungen der EU-Standardvertragsklauseln. Diese sind allerdings – und darauf geht die Aufsichtsbehörde nicht näher ein – eigentlich genehmigungspflichtig. Das heißt, die Änderungen müssten von dem Auftraggeber bei der für ihn zuständigen Aufsichtsbehörde vorgelegt und von dieser genehmigt werden.
Wenn sich alle Unternehmen daran halten würden, käme das wohl einer Denial-of-Service-Attacke auf die Aufsichtsbehörden gleich.

Folgende Änderungen und Ergänzungen schlägt die Aufsichtsbehörde an den EU-Standardvertragsklauseln für Auftragsverarbeiter vor:

  • Abänderung Anhang Klausel 4f: Information der betroffenen Person nicht nur bei der Übermittlung besonderer Datenkategorien, sondern bei jeglicher Datenübermittlung (vor oder so bald wie möglich nach der Übermittlung), dass ihre Daten in ein Drittland übermittelt werden, das kein angemessenes Schutzniveau im Sinne der Verordnung (EU) 2016/679 bietet
  • Abänderung Anhang Klausel 5d i: Pflicht des Datenimporteurs, nicht nur den Datenexporteur, sondern auch die betroffene Person unverzüglich zu informieren über alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten; ist diese Informationsweitergabe anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen, müssen Sie sich mit der Aufsichtsbehörde LfDI in Verbindung setzen und das weitere Vorgehen abklären
  • Ergänzung von Anhang Klausel 5 d um die Verpflichtung des Datenimporteurs, den Rechtsweg gegen eine Weitergabe von personenbezogenen Daten zu beschreiten und die Offenlegung der personenbezogenen Daten gegenüber den jeweiligen Behörden zu unterlassen, bis er von einem zuständigen Gericht letztinstanzlich zur Offenlegung rechtskräftig verurteilt wurde
  • Abänderung von Anhang Klausel 7 Abs. 1, nur Aufnahme von b): Befassung der Gerichte des Mitgliedstaats, in dem der Datenexporteur sich niedergelassen hat, mit dem Streitfall, für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht
  • Aufnahme des in Anhang 2 genannten Beispiels für eine Entschädigungsklausel: Haftung
    Die Parteien erklären sich damit einverstanden, dass, wenn eine Partei für einen Verstoß gegen die Klauseln haftbar gemacht wird, den die andere Partei begangen hat, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist.
    Die Entschädigung ist abhängig davon, dass
    a) der Datenexporteur den Datenimporteur unverzüglich von einem Schadenersatzanspruch in Kenntnis setzt und
    b) der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der Verteidigung in der Schadenersatzsache bzw. der Einigung über die Höhe des Schadenersatzes zusammenzuarbeiten.

Über die Sinnhaftigkeit der einzelnen Vorschläge habe ich mich übrigens mit dem ausgewiesenen Experten in diesem Bereich – Rechtsanwalt Paul Voigt – in der aktuellen Podcast-Folge unterhalten (Interview ab Minute 6:50).

Ausgesprochen positiv finde ich den pragmatischen Ansatz der Aufsichtsbehörde Baden-Württemberg:

 Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.

Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten. Wir werden die Entwicklung weiter beobachten und unsere Positionen dementsprechend laufend überprüfen und fortentwickeln.

Dieses Augenmaß ist wirklich positiv. Davon könnte sich so manche Aufsichtsbehörde eine Scheibe abschneiden. „I’m looking at you, Berlin…“

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.