Die Unterscheidung im Verhältnis Controller-Controller und Controller-Prozessor und die Neuerungen durch die DS-GVO

Zum Hintergrund

Mit der fortschreitenden Übermittlung von Daten von einem europäischen Unternehmen an ein in einem Drittland niedergelassenen Unternehmen im Rahmen der Globalisierung steigt auch das Interesse an der Einhaltung eines angemessenen Datenschutzniveaus, angelehnt an den europäischen Datenschutz. Aufgrund der Vermutung, dass Drittländer kein ausreichendes, den europäischen Vorgaben entsprechendes Datenschutzniveau erfüllen, sofern die EU-Kommission für das jeweilige Drittland kein angemessenes Datenschutzniveau anerkannt hat, entwickelte man verschiedene Instrumente, die Vertragsparteien in ihre Vereinbarungen aufnehmen können, um ein angemessenes Datenschutzniveau herzustellen, da die Datentransfers andernfalls unzulässig wären.

Noch Fragen?
Wir bieten Hilfe zu allen Fragen im Datenschutzrecht!
0228 - 74 89 80

Die Standardvertragsklauseln

Eins dieser Instrumente sind die Standardvertragsklauseln, die in drei verschiedene Versionen genutzt werden können. Zum einen gibt es zwei verschiedene Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen (Controller-Controller-Transfer), die sich in der Haftung, Bindung an aufsichtsbehördliche Hinweise und die Gestaltungs- bzw. Ergänzungsspielräume unterscheiden, und die Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen und nach deren Weisung handelnden Auftragsdatenverarbeitern (Controller-Prozessor-Transfer). Die Identität der Vertragsparteien ist also für die Auswahl der Standardvertragsklauseln entscheidend. Die Standardvertragsklauseln ersetzen jedoch nicht die vertragliche Vereinbarung zwischen den Parteien, sondern ergänzen sie um eine gesonderte Vereinbarung.

Set II: Controller-Controller

Das Modell „Set II“ der Standardvertragsklauseln (2004/915/EG) für das Verhältnis zwischen zwei Controllern, wurde von mehreren Wirtschaftsverbänden als sogenannte „alternative Standardvertragsklauseln“ entworfen und der Europäischen Kommission zur Genehmigung vorgelegt. Im Ergebnis ist auffällig, dass das Set II den Erfordernissen der Wirtschaft deutlich besser Rechnung trägt und somit gegenüber Set I vorzugswürdig ist.

Ein Controller-to-Controller-Verhältnis liegt vor, wenn es eine Datenübermittlung zwischen zwei verantwortlichen Stellen gibt. Der Datenimporteur hat, im Gegensatz zum Auftragsdatenverarbeiter, eine Entscheidungsbefugnis in Bezug auf den Zweck und die Art der Datenverarbeitung.

Set II wurde entwickelt, um die Wirtschaftsteilnehmer zur intensiveren Nutzung von Vertragsklauseln zu veranlassen, womit man für den Adressat attraktive Veränderungen schuf. Zu den Unterschieden im Vergleich zu Seit I gehören im Einzelnen flexiblere Prüfungspflichten und eine präzisere Regelung des Auskunftsrechts. Anders als Set I, das eine gesamtschuldnerische Haftung vorsieht, regelt Set II ein anderes Haftungssystem, bei dem auf die Sorgfalt abzustellen ist und nach dem sowohl der Datenexporteur als auch der Datenimporteur für die Verletzung ihrer jeweiligen Vertragspflichten haften. Zudem trifft den Datenexporteur ein Auswahlverschulden: er muss sich nach Klausel 1 lit. b des Standardvertrags (2004/915/EG) im Rahmen des Zumutbaren davon überzeugen, dass der Datenimporteur seine Rechtspflichten aus diesen Klauseln erfüllen kann. Ferner treffen den Datenexporteur weitere Pflichten in Bezug auf die Beschwerdeabhilfe des Drittbegünstigten. Diese Pflichten zeichnen sich in der Kontaktaufnahme zum Datenimporteur und in der Durchsetzung der Einhaltung der Vertragspflichten nach Klausel 1 lit. e nieder. Dem Betroffenen stehen ebenfalls Rechte der Rechtsverfolgung bei Nichteinhaltung der vertraglichen Pflichten durch den Datenexporteur und –importeur zu. 

Zum Ausgleich dieser für die Vertragspartner attraktiven Flexibilität und zur Verhinderung möglichen Missbrauchs regeln das Vertragswerk aber ein leichteres Verbot oder Aussetzung von Datenübermittlungen durch die Datenschutzkontrollen im Falle der Weigerung des Datenexporteurs zur Durchsetzung von Vertragspflichten oder der Weigerung des Datenimporteures zur redlichen Zusammenarbeit mit den Datenschutzkontrollen.

Werden allerdings Mitarbeiterdaten an eine andere verantwortliche Stelle im Ausland übermittelt, ist die Verwendung des „Set II“ bezüglich der Übermittlung von Personaldaten nicht ausreichend. Begründet wird das damit, dass das datenexportierende Unternehmen nicht für Schäden einsteht, die die datenimportierende Stelle verursacht und zusätzlich besteht für den Datenexporteur die Option, die Beantwortung von Anfragen Betroffener auf den Datenimporteur zu übertragen. Der Arbeitgeber als Datenexporteur kann in dieser Konstellation aber für den Arbeitnehmer als Betroffenen nicht als umfassender Ansprechpartner fungieren, wofür aber letzterer ein schutzwürdiges Bedürfnis hat. Daher empfehlen wir, mit dem Datenimporteur in dieser Konstellation eine Ergänzungsvereinbarung zu treffen, sofern bei der Datenübermittlung an ein Unternehmen im Ausland Personaldaten betroffen sind. Alternativ kann als Lösung auch „Set I“ gewählt werden.

Set I: Controller-Controller

Im Gegensatz zu Set II liegt dem Set I eine gesamtschuldnerische Haftung zu Grunde. Gegenüber dem Betroffenen haften Datenexporteur und Datenimporteur für Schäden aufgrund jeglicher Verletzung der Bestimmungen, die der Begünstigtenklausel nach Klausel 3 unterliegen. Der Betroffene kann sowohl gegen den Datenexporteur, den –importeur als auch gegen beide vorgehen und Schadensersatz aufgrund eines Schadens wegen einer vertraglichen Pflichtverletzung verlangen. Der Datenexporteur unterliegt der Pflicht, den Betroffenen über die Datenübermittlug in ein Drittland ohne angemessenen Datenschutz in Kenntnis zu setzen und seine Anfragen diesbezüglich zu beantworten. Diese Beantwortungspflicht trifft auch den Datenimporteur, wenn sich der Betroffene an ihn wendet.

Controller-Prozessor

Die Controller-Prozessor-Standardvertragsklauseln sind heranzuziehen, wenn das EU-Unternehmen verantwortliche Stelle ist, der Datenimporteur aber Auftragsdatenverarbeiter. Das ist dann der Fall, wenn der Datenimporteur die Daten nur im Auftrag und nach den Weisungen des Datenexporteurs verarbeitet. Als Beispiele gelten in der Regel Call-Center, Cloud-Computing-Anbieter, externe IT-Admins, Marketingagenturen und externe Personalagenturen.

Bei der Auftragsdatenverarbeitung findet eine Art „Einverleibung“ des Auftragnehmers in das Datenschutzkonzept des Auftraggebers statt, so dass der Datenimporteur beispielsweise die Daten lediglich mit vorheriger Einholung einer schriftlichen Einwilligung des Datenexporteurs weitergeben kann. Er bleibt an die Weisungen des Datenexporteurs gebunden. Es ist die Pflicht des Datenexporteurs, den Datenimporteur zu einer dem anwendbaren Datenschutzrecht und den Klauseln entsprechenden Datenverarbeitung anzuweisen. Zudem bleibt die Haftung in erster Linie bei dem Auftraggeber. Auch hier trifft den Datenexporteuer eine Informationspflicht des Betroffenen sowie eine Beantwortungspflicht von Datenexporteur und –importeur hinsichtlich Anfragen des Betroffenen.

Das Werk der Standardvertragsklauseln kann in drei Teile unterteilt werden. Zunächst kommen die eigentlichen Standardvertragsklauseln, dann folgt der erste Anhang mit Angaben zu der konkreten Datenverarbeitung und ein zweiter Anhang mit Beschreibungen der technischen und organisatorischen Maßnahmen des Datenimporteurs schließt die Standardvertragsklauseln. Optional kann ein dritter Anhang über die Erfüllung des nationalen Rechts hinzugefügt werden.

Die Neuerung der DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai 2018 gilt, sieht zudem die Möglichkeit neuer, speziell für die Auftragsverarbeitung vorgesehener Standardvertragsklauseln vor. Nach Art. 28 Abs. 7, 8 DS-GVO hat die EU-Kommission dazu die Erlass-Befugnis, sowie auch eine Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren.

Die von Art. 28 DS-GVO benannten Standardvertragsklauseln sind nicht die bislang existierenden, allgemein bekannten Standardvertragsklauseln, sondern vollkommen neue, jedoch wurden sie noch nicht von der dafür zuständigen Stele erlassen.

Den Parteien bleibt es künftig überlassen, die Standardvertragsklauseln überhaupt, komplett oder nur teilweise für ihre vertraglichen Vereinbarungen heranzuziehen. Somit sind für die Vertragsparteien auch individualvertragliche Vereinbarungen möglich. Die Verantwortlichen haben sicherzustellen, einen ausreichenden Datenschutz einzuhalten und gegen keine Regelungen der DS-GVO zu verstoßen.

Die Neuerung in der DS-GVO schafft die Möglichkeit weitergehender standardisierter Prozesse und Verarbeitungen. Beispiele dafür können Cloud-, Hosting- und Infrastrukturdienste oder Software-as-a-Software-Angebote sein. Die Heranziehung von Standardvertragsklauseln als einfache anerkannte Vertragsklauseln schafft einen ausgewogenen und datenschutzfreundlichen Rahmen sowohl für die Verantwortlichen als auch für die Betroffenen.

Zuständig für den Erlass dieser Standardvertragsklauseln sind gemäß Art. 28 Abs. 8 DS-GVO die Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren nach Art. 63 DS-GVO, und gemäß Art. 28 Abs. 7 DS-GVO die EU-Kommission im Einklang mit dem Prüfverfahren nach Art. 93 Abs. 2 DS-GVO. Die Bindung an das Kohärenz- und Prüfverfahren hat jedoch als Folge, dass es aufwändiger europaweiter Abstimmungen bedarf. Somit wird es wohl noch etwas länger dauern, bis man sich auf endgültig einsatzbare Standardvertragsklauseln einigt.

Die bislang bekannten Standardvertragsklauseln wird es künftig unter dem Namen „Standarddatenklauseln“ weiter geben. Diese bleiben auch in ihrer konkreten Ausgestaltung so bestehen, sollte der Europäische Gerichtshof, der momentan über das Kriterium der ausreichenden Garantie hinsichtlich des Schutzes der Privatsphäre für Übermittlungen personenbezogener Daten in Drittländer und damit der Tauglichkeit der Standardvertragsklauseln zur Erfüllung ihres Zwecks, nicht die Untauglichkeit feststellt. Eine Kollision neuer Standardvertragsklauseln ist insofern ausgeschlossen, dass die in den Neuerungen erfasste Konstellation nicht von den bislang vorhandenen Standardvertragsklauseln abgedeckt ist wie die neue Möglichkeit von Standarddatenschutzklauseln für die Übermittlung durch Auftragsverarbeiter.