Privacy Shield – Was ist bei der Auftragsdatenverarbeitung zu beachten?

Nachdem der Europäische Gerichtshof den „Safe-Harbour“-Beschluss vor circa einem Jahr zu Fall gebracht hatte, herrschte eine gewisse Ratlosigkeit im transatlantischen Datenverkehr. Der Nachfolger „Privacy Shield“ ist seit Juli aktiv. Die EU-Kommission erkennt das Datenschutzniveau als gleichwertig an, wenn sich ein Unternehmen dem „Privacy Shield“ unterwirft. Was müssen deutsche Auftraggeber nun beachten, wenn der Auftragnehmer (oder dessen Subunternehmer) das „Privacy Shield“ als Legitimationsgrundlage anbietet?

Zwei-Stufen-Test

Nach wie vor gilt der Zwei-Stufen-Test. Damit ist auf erster Stufe zunächst die Frage der Rechtmäßigkeit der Übermittlung als solcher zu klären. Auf zweiter Stufe ist dann die Frage der Übermittlung ins Nicht-EWR-Ausland zu beantworten.

Für die erste Stufe gilt, dass auch bei einer klassischen Auftragsdatenverarbeitungssituation (z. B. Miete von Online-Speicherplatz, Cloud-Leistungen, Rechenzentrumsoutsourcing etc.) die Einschaltung eines Auftragnehmers in den USA keine Auftragsdatenverarbeitung im Sinne des deutschen Datenschutzrechts darstellt. Die gesetzliche Privilegierung gilt ausdrücklich nur, soweit der Auftragnehmer im Europäischen Wirtschaftsraum sitzt. Nur dann fingiert das Gesetz (§§ 3 Abs. 8 S. 2, 11 BDSG), dass keine Übermittlung vorliegt und der Auftragnehmer insoweit als integrierter Teil der verantwortlichen Stelle betrachtet wird. Die Übermittlung an einen Auftragnehmer außerhalb des EWR ist damit an den üblichen Erlaubnistatbeständen zu messen. Wenn – wie in der Regel – keine Einwilligung aller Betroffenen vorliegt, kommen also primär die §§ 28 und 29 BDSG ins Spiel. Das hat Auswirkungen, insbesondere wenn es um „sensitive“ Daten im Sinne von § 3 Abs. 9 BDSG geht (also z. B. Religion, ethnische Herkunft, sexuelle Orientierung etc ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK