Titelbild
21.07.2020

Standardvertragsklauseln: Dein neues Privacy Shield

Der EuGH kippt das Privacy Shield Abkommen. Nutze Standardvertragsklauseln als Rechtsgrundlage für personenbezogenen Datentransfer in Drittstaaten. Erfahre hier, welche EU-Standardverträge Unternehmen jetzt nutzen können und worauf du bei Abschluss der Verträge besonders achten musst.

Das Portal für Gründer und Unternehmer

Sensible Daten vor unberechtigtem Zugriff Dritter schützen

Warum hat der EuGH das Privacy Shield Abkommen gekippt?

Dem Urteil des EuGH ging ein langwieriger Rechtsstreit voran, initiiert durch den österreichischen Juristen und Datenschützer Max Schrems gegen die Übermittlungspraxis sensibler Daten bei Facebook. Dieser freute sich nach dem ebenfalls von ihm mitverantworteten Scheitern des Safe Harbor Abkommens nun erneut über einen höchstrichterlichen Zuspruch. Die Richter gaben Schrems Recht und bemängelten u.a. die mit Blick auf die Zugriffsmöglichkeiten der US-Behörden unzureichenden Anforderungen an den Schutz transferierter Daten sowie einen mangelhaften Rechtsschutz für Betroffene, die das Privacy Shield Abkommen böte bzw. eben gerade nicht. 

Diese Entscheidung hat nicht nur für große Social Media Konzerne Relevanz, sondern für sämtlich international tätige Unternehmen, die in diesem Geschäftsumfeld sensible Daten austauschen. Dies gilt übrigens auch, wenn du ein Unternehmen führst, das Teil eines internationalen Konzerns ist. Befindet sich z.B. der Mutterkonzern deines Unternehmens in "unsicheren Drittstaaten" musst du sicherstellen, dass du jederzeit die Zugriffskontrolle über z.B. Personaldaten besitzt, um z.B. dem unveräußerlichen Recht deiner Mitarbeiter nachzukommen, diese zu löschen.

Welche Gefahr besteht jetzt für Unternehmen, die internationale Datentransfers bislang auf Basis des Privacy Shield Abkommens rechtfertigten?

Streng genommen betrachtet, handeln Unternehmen, die bislang auf Basis des Privacy Shield Abkommens Daten international mit Drittstaaten austauschten, aktuell illegal. Um ein äquivalentes Schutzniveau des alten Geltungsbereichs herzustellen, musst du jetzt nachbessern. 

Grundsätzlich ist im Vorfeld einer Datenerhebung und -übermittlung immer zu klären, ob dieser Vorgang überhaupt einen "Erlaubnistatbestand" erfüllt. Dies ist aus deutscher Perspektive mit den §§ 26 ff. BDSG geregelt. Du benötigst demzufolge einen der hier bezeichneten rechtfertigenden Erlaubnistatbestände üblicherweise in Form einer Einwilligung oder auf Basis gültiger Rechtsgrundlage.

Im zweiten Schritt musst du sicherstellen, dass beim Datenempfänger ein "angemessenes Datenschutzniveau" vorliegt. Dies wird allgemein vorausgesetzt für die Mitgliedstaaten der Europäischen Union (EU), die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR) sowie für einige als solche von der EU-Kommission eingeordnete nicht-EU/EWR Länder. Für alle übrigen Länder gilt: Befindet sich das die Daten empfangende Unternehmen in einem "unsicheren Drittstaat", musst du besondere Maßnahmen für den Datentransfer ergreifen, um ein angemessenes Schutzniveau zu gewährleisten.

Wie kann ich sensible Daten in die USA und andere Drittstaaten sicher übermitteln?

Das Privacy Shield Abkommen ist Geschichte. Ab sofort können EU-Standardverträge zwischen dir als Datenexporteur und dem Unternehmen im Zielland einen sicheren Rechtsrahmen für internationalen Datentransfer bieten. Der Zweck der EU-Standardvertragsklauseln besteht darin sicherzustellen, dass übermittelte Daten des Exporteurs beim Datenempfänger ein nach EU-Recht angemessenes Datenschutzniveau genießen. 

Wie wende ich EU-Standardverträge und Standardklauseln in der Praxis an?

Für unterschiedliche Übermittlungspraktiken stellt die EU drei verschiedene Klausel Sets online bereit. Wichtig zu unterscheiden ist hier, in welchem Verhältnis du als Datenexporteur und dein jeweiliger Datenimporteur im spezifischen Drittland zueinander stehen.

Die ersten beiden Klausel-Sets (Set I und II) betreffen das sogenannte Controller to Controller-Verhältnis, das dritte ist nur bei Controller to Processor-Verhältnissen anwendbar. Ein Controller entspricht im deutschen Recht dem Begriff einer „verantwortlichen Stelle“. Ein Processor hingegen agiert lediglich als „Auftragsdatenverarbeiter“.

Controller to Processor vs. Controller to Controller: Welche Standardklauseln gelten für mich? 

Controller to Processor-Verhältnis

Der Controller to Processor-Standardvertrag besteht aus drei Teilen:

  • die Standardvertragsklauseln
  • ein Anhang 1 mit Angaben zur konkreten Datenverarbeitung sowie
  • ein Anhang 2 mit einer Beschreibung der technischen und organisatorischen Maßnahmen des Datenimporteurs
  • ein optionaler Anhang 3 steht für ergänzende Vereinbarungen bereit

Controller to Controller-Verhältnis

Im Fall einer Datenübertragung von Controller to Controller, also immer dann, wenn die Grenze zur reinen Funktionsübertragung überschritten wird, gilt das dritte EU-Standvertragswerk. In diesem Fall handelt der Datenimporteur im Drittland nicht als Auftragsdatenverarbeiter des datenexportierenden EU-Unternehmens, sondern ist selbst eine verantwortliche Stelle. Für diesen Fall stellt die EU zwei Sets zur Verfügung. Zu empfehlen ist das neuere Set aus dem Jahr 2004, das selbst wiederum aus drei Teilen besteht:

  • die Standardvertragsklauseln
  • ein Anhang A mit Grundsätzen für die Datenverarbeitung (Zweckbindung und Transparenz der Datenübermittlung und Rechte der Betroffenen werden standardisiert kommuniziert)
  • ein Anhang B mit Angaben zur konkreten Datenübermittlung (betroffene Personen, Übermittlungszwecke, Kategorien übermittelter Daten und Empfänger)
  • ein optionaler Anhang B für ergänzende Vereinbarungen, beispielsweise zur Kostentragung oder Streitbeilegung

Wichtiger Hinweis: Der Vorteil von Set II gegenüber Set I - namentlich die getrennt schuldnerische Haftung der Vertragsparteien bei Verstößen der anderen Partei - wird dem Regelwerk im Fall der Übertragung von Personaldaten zum Nachteil. Die deutschen Datenschutzaufsichtsbehörden mißbilligten das Klausel-Set in dieser besonderen Anwendung als nicht ausreichend. Hier musst du firmenintern individuell mit Ergänzungsvereinbarungen nachjustieren, um sicherzustellen, dass du als Datenexporteur nach wie vor erster Ansprechpartner für Beschäftigte bleibst und jederzeit Hoheit über die praktische Wahrung ihrer Rechte besitzt. Das bedeutet die Pflicht zur Auskunft, Löschung, Berichtigung, Sperrung bis hin zum Schadensersatz.

EU-Standardvertragsklauseln: Quellen Links

Die EU-Kommission stellt die drei EU-Standardverträge für den internationalen Datentransfer in unsichere Drittstaaten auf ihrer Homepage zum Download zur Verfügung. Je nachdem, welches eingangs genannte Parteien-Verhältnis für dich zutrifft (Controller-Processor oder Controller-Controller) - gelten für dich unterschiedliche hier aufgeführte und genau bezeichnete Standardverträge.

Das jeweils vertragsbildende Textformular für deine individuellen Angaben findest du im wahlweise nutzbaren deutsch- oder englischsprachigen PDF immer im Anhang an die zuvor ausformulierte Rechtsgrundlage sowie wesentliche Begriffserläuterungen.

Rechtsgrundlagen für den Schutz sensibler Daten

iStock-1024269370

Ein Jahr DSGVO in Deutschland

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Was ist seit Inkrafttreten der Verordnung passiert? Welche Bußgelder wurden bislang verhängt? Worauf müssen Unternehmen besonders achten? Ein Überblick zum aktuellen Status Quo.

iStock-1025838426

Die EU-Datenschutzgrundverordnung

Seit dem 25. Mai 2018 gilt die EU-DSGVO in den Mitgliedsstaaten der Europäischen Union als direkt anwendbares Recht. Sie ersetzt damit in den grundlegenden Bereichen das bis dato bestehende nationale Datenschutzrecht (z.B. das Bundesdatenschutzgesetz „BDSG“). Nationale Handlungsspielräume sind durch Öffnungsklauseln darüber hinaus weiterhin gegeben.

iStock-590152382

Das neue Geschäftsgeheimnisgesetz

Das neue Geschäftsgeheimnisgesetz gilt ab sofort ohne Übergangsfrist. Unternehmen müssen jetzt ihre Geschäftsgeheimnisse angemessen schützen. Tun Sie das nicht, droht im schlimmsten Fall der ungestrafte Diebstahl sensibler Informationen. Ein Handlungsleitfaden.

Über den Autor
Kathleen Händel

Kathleen Händel

Kathleen schreibt seit 2018 im Magazin von Unternehmenswelt. Neue Ideen und Konzepte, disruptive Technologien und nachhaltiges Unternehmertum bilden ihre Interessenschwerpunkte. Zuvor war Kathleen als Content Creator für die Social StartUp-Szene, verschiedene Stiftungen und Kommunikationsagenturen tätig. Seit 2019 recherchiert die studierte Kulturwissenschaftlerin für dich alle Fakten und Zusammenhänge, die du in deinem Tagesgeschäft brauchst.