Die neuen EU-Standardvertragsklauseln: Für die Auftragsdatenverarbeitung in Drittländern und die Auswirkungen auf die Praxis

Das IITR informiert: Die EU-Kommission hat am 5.2.2010 einen Beschluss zur Aktualisierung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern gefasst. Im vorliegenden Beitrag informieren wir Sie über die Anwendung dieser Standardvertragsklauseln und die Auswirkungen des Beschlusses auf die Praxis.

Beitrag des IITR von Herrn Rechtsanwalt Dr. Sebastian Kraska und Frau Rechtsassessorin Alma Lena Fritz.

Was sind EU-Standardvertragsklauseln?

Die oben benannten EU-Standardvertragsklauseln sind von der EU-Kommission gestellte Vertragsvorgaben beim Einsatz eines Auftragsdatenverarbeiters in einem so genannten Drittland. Diese Vertragsvorgaben ergänzen und präzisieren die Vertragsbedingungen über die eigentliche Leistungserbringung hinsichtlich der datenschutzrechtlich geforderten Mindeststandards. Die Rechte und Pflichten der Parteien werden geregelt und müssen unverändert übernommen werden.

EWR: keine Drittländer

Keine Besonderheiten beim grenzüberschreitenden Datenverkehr ergeben sich gemäß § 4b Abs. 1 BDSG, solange der Transfer innerhalb der Mitgliedsstaaten der EU oder des EWR (Norwegen, Liechtenstein, Island) geschieht. Besonderheiten ergeben sich, soweit der Datentransfer in ein so genanntes Drittland geplant ist.

Kurz: wie funktioniert Datentransfer in Drittländer?

Gemäß Art. 25 der EG-Datenschutzrichtlinie und § 4b Abs. 2 S. 2 des BDSG ist stets die Sicherstellung eines angemessenen Datenschutzniveaus beim Datenempfänger anzustreben. Nach den genannten Vorschriften darf ein Datentransfer in ein Drittland nicht stattfinden, wenn das angemessene Datenschutzniveau nicht sichergestellt werden kann. Es drohen dann Maßnahmen der Aufsichtsbehörde und Bußgelder gemäß §§ 43, 44 BDSG.

Welche Möglichkeiten bestehen für einen Datentransfer in Drittländer?

Der Datentransfer richtet sich insoweit nach den §§ 4b und 4c BDSG. Dabei wird in § 4b BDSG auf das angemessene Schutzniveau Bezug genommen.

Wann liegt nach der EU-Kommission ein angemessenes Schutzniveau vor?

Ein angemessenes Schutzniveau wurde von der EU-Kommission bisher für die Länder Schweiz, Kanada, Argentinien, Guernsey und Isle of Man festgestellt. Daneben ist ein angemessenes Schutzniveau bisher noch dann anzunehmen, wenn die Daten in die USA übermittelt werden sollen und der Datenempfänger dem Safe Harbor Abkommen beigetreten ist. Das Safe Harbor Abkommen befindet sich nach einer Überprüfung jedoch inzwischen in der rechtspolitischen Diskussion, so dass Veränderungen in diesem Zusammenhang möglich sind.

Zulässigkeit des Datentransfers nach § 4c BDSG

Gemäß § 4c Abs. 1 BDSG ist ein Datentransfer auch zulässig, wenn eine der dort genannten Ausnahmen einschlägig ist (es muss eine der Ausnahmen alternativ vorliegen), sollte die Stelle im Drittland kein angemessenes Datenschutzniveau aufweisen sollen. Daneben…

» Vollständiger Artikel