UPDATE: Der Landesdatenschutzbeauftragte hat seine Orientierungshilfe erweitert. Unseren aktualisierten Mustervertrag finden Sie hier.

Nachdem der Europäische Gerichtshof mit seinem Urteil vom 16.07.2020 den sog. „Privacy Shield“ gekippt hat, der bisher als Grundlage für den internationalen Transfer personenbezogener Daten in die USA dienen konnte, rücken nun die sog. Standardvertragsklauseln in den Fokus. Denn der EuGH hat diese in seinem Urteil zwar nicht für unwirksam erklärt, allerdings die Anforderungen deutlich hochgeschraubt.

Vertragsklauseln statt Leerformeln

Leider bietet das EuGH-Urteil keine präzise Handlungshilfe, aus der Unternehmen, die mit US-amerikanischen Dienstleistern arbeiten (müssen), nun die nächsten Schritte ableiten können. Erste Abhilfe soll nun ein Papier des Baden-Württembergischen Landesbeauftragten für Datenschutz und Informationsfreiheit bieten. In der Orientierungshilfe „Was jetzt in Sachen internationaler Datenverkehr?“ repetiert die Behörde erfreulicherweise nicht lediglich die vielerorts zu hörenden Leerformeln (etwa nach dem Motto: „Der Verantwortliche muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen.“), sondern gibt erstmals auch praktische Hinweise dazu, wie etwa die Vertragsgestaltung mit einem ausländischen Dienstleister aussehen könnte.

Keine Rechtssicherheit bei Datentransfer

Freilich versäumt auch der Datenschutzbeauftragte nicht zu erwähnen, dass auch eine solche Vertragsergänzung keineswegs Rechtssicherheit für die Übermittlung von Daten etwa in die USA bietet. Sie soll aber als Demonstration des „Willens zu einem rechtskonformen Handeln“ positiv gewürdigt werden. Im Zentrum des Vorgehens der Behörde, die sich zuletzt auch durch die Verhängung namhafter Bußgelder hervorgetan hat, soll die Frage stehen, ob es neben dem gewählten Dienstleister zumutbare Alternativanbieter aus der EU gebe. Könne man die Behörde nicht davon überzeugen, dass der gewählte US-Dienstleister „kurz- und mittelfristig unersetzlich“ sei, werde die Behörde den Datentransfer untersagen.

Bewertung der Vertragsvorschläge

Wie sind nun die konkreten Vorschläge der Behörde einzustufen? Es lohnt sich, einen Blick auf den Ansatz der baden-württembergischen Behörde zu werfen, denn einige Punkte sind durchaus überraschend. Im Kern geht es um eine Abänderung der EU-Standardvertragsklauseln zur Auftragsverarbeitung (2010/87), was der Kenner der Materie bereits mit mindestens einer hochgezogenen Augenbraue quittiert. Denn laut Klausel 10 Satz 1 der Standardvertragsklauseln ist eine Abänderung der Klauseln nicht zulässig. Nach herrschender Meinung führt eine Abänderung dazu, dass sich der Verwender nicht mehr auf die automatische Genehmigungswirkung berufen, sondern die Klauseln der für ihn zuständigen Aufsichtsbehörde zur Individualgenehmigung vorlegen müsste. Allerdings dürfen die Parteien gemäß Klausel 10 Satz 2 „erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen“. Mit einigem Wohlwollen könnte man die jetzt vorgeschlagenen Ergänzungen daher wohl als „geschäftsbezogene Klauseln“ auffassen, soweit sie – dazu später mehr – nicht im Widerspruch zu den Standardvertragsklauseln stehen. Doch der Reihe nach:

Informationspflicht

Als erstes schlägt die Behörde eine Abänderung von Klausel 4f vor. Demnach soll der Betroffene nicht nur bei der Übermittlung besonderer Datenkategorien (so sehen es die Standardvertragsklauseln an sich vor, z. B. für Gesundheitsdaten), sondern bei jeglicher Datenübermittlung (also ohne Rücksicht auf die Art der Daten) darüber informiert werden, dass seine Daten in ein „unsicheres“ Drittland übermittelt werden. Der Vorschlag verwundert ein wenig, weil die Verantwortlichen gemäß Art. 13 Abs. 1 lit. f bzw. 14 Abs. 1 lit. f DSGVO ohnehin dazu verpflichtet ist, den Betroffenen zu informieren, falls er beabsichtigt, die Daten in ein „unsicheres“ Drittland zu übermitteln. Im Ergebnis wiederholt der Vorschlag der Behörde also etwas, was nach dem Gesetz ohnehin gilt. Was der tiefere Sinn dieses Vorschlages ist, erschließt sich nicht recht.

Information bei staatlichem Zugriff

Weiter rät die Behörde, Klausel 5d i dahingehend abzuändern, dass der ausländische Dienstleister nicht nur seinen Auftraggeber, sondern auch die Betroffenen selbst unverzüglich informieren soll, falls er von einer staatlichen Stelle zur Weitergabe von personenbezogenen Daten aufgefordert wird. Das zielt ersichtlich auf die Zugriffsrechte des amerikanischen Staates, die für den EuGH leitend für den Widerruf des „Privacy Shield“ waren. Über die Sinnhaftigkeit dieses Vorschlages lässt sich ebenfalls streiten. Das Hauptproblem besteht darin, dass der US-Dienstleister, der eine solche Aufforderung erhält, regelmäßig ebenfalls eine sog. „gag order“ erhält, die ihn zum Stillschweigen über den Datenzugriff verpflichtet. Es wäre mit den Zielen etwa der Terrorismusbekämpfung (falls der Zugriff diesem Zweck tatsächlich dient) auch nicht wirklich gut vereinbar, wenn der Betroffene durch eine solche Information über die gegen ihn laufenden Ermittlungen informiert würde. Dessen ist sich auch die Behörde bewusst, die in einem solchen Fall eine Kontaktaufnahme mit ihr fordert, um „das weitere Vorgehen abklären“. Ob der Dienstleister überhaupt über die Kontaktdaten des Betroffenen für eine unmittelbare Information verfügt, steht ohnehin noch auf einem anderen Blatt.

Einlegen von Rechtsmitteln

Weiter fordert die Behörde eine Ergänzung von Klausel 5d. Der Dienstleister, der eine staatliche Offenlegungsverpflichtung erhält, soll verpflichtet sein, dagegen den Rechtsweg zu beschreiten „und die Offenlegung der personenbezogenen Daten gegenüber den jeweiligen Behörden zu unterlassen, bis er von einem zuständigen Gericht letztinstanzlich zur Offenlegung rechtskräftig verurteilt wurde.“

Die Pflicht zur Einlegung von Rechtsmitteln erscheint durchaus sinnvoll. Dass der Dienstleister aber die Offenlegung verweigern darf, bis er letztinstanzlich(!) rechtskräftig(!) verurteilt wurde, dürfte wohl reines Wunschdenken sein. Denn es ist anzunehmen, dass auch in den USA (und anderswo) Verwaltungsanordnungen sofort vollzogen werden können (wie in Deutschland auch). Die letztinstanzliche Entscheidung wird insoweit wohl nicht mehr als eine retrospektive Feststellung der Rechtmäßigkeit oder Rechtswidrigkeit der längst abgeschlossenen Einsichtnahme in die Daten bieten können.

Kein Wahlrecht des Betroffenen

Weiter macht sich die Behörde dafür stark, in Klausel 7 Abs. 1 das dort vorgesehene Wahlrecht des Betroffenen darauf zu beschränken, dass der ausländische Dienstleister eine Klage vor dem Gericht im Sitzland des Auftraggebers akzeptieren muss (und nicht mit dem Einwand fehlender Zuständigkeit angreifen darf). An sich sieht die Klausel jedoch vor, dass der Betroffene nach seiner Wahl statt einem staatlichen Gericht auch eine Schiedsstelle oder Datenschutzbehörde anrufen kann. Diese Wahlmöglichkeit soll dem Betroffenen nach der Vorstellung des Landesdatenschutzbeauftragten Baden-Württemberg nun aber offenbar genommen werden. Spätestens hier regt sich Unverständnis, denn dies würde eine ziemliche eklatante Abänderung der Standardvertragsklauseln im Sinne von Klausel 10 Satz 1 darstellen, die zu einer Einzelgenehmigungspflicht führt. Möglicherweise liegt dem Vorschlag die Annahme zugrunde, ein Schlichtungsverfahren leide gegenüber einem staatlichen Verfahren an der notwendigen Durchschlagskraft, so dass der Betroffene davor geschützt werden müsse, zu seinen Ungunsten die schlechtere Wahl zu treffen. Gleichwohl mutet der Vorschlag merkwürdig an und dürfte auch nicht die erwünschte Wirkung entfalten, zumal die getroffene Wahl laut Klausel 7 Abs. 2 ohnehin keinen Einfluss auf die Möglichkeit des Betroffenen hat, seine materiellen Rechte oder Verfahrensrechte einzuklagen.

Haftungsklausel

Schließlich spricht sich die Behörde für die Aufnahme der in den Standardvertragsklauseln bereits als Option enthaltenen Entschädigungsklausel aus. Dagegen spricht aus datenschutzrechtlicher Sicht nichts, zumal es sich lediglich um eine Regelung zum internen Schadensausgleich zwischen Auftraggeber und Dienstleister handelt.

Fazit

Insgesamt ist der Wille des Landesdatenschutzbeauftragten, eine praktische Handlungshilfe zu liefern, wie auch andernorts schon positiv vermeldet wurde, sehr zu begrüßen. Indes hätte man sich aus Sicht des Rechtsanwenders an mancher Stelle ein wenig durchdachtere Vorschläge gewünscht. Möglicherweise war dies der schnellen Reaktion der Behörde geschuldet, so dass die inhaltliche Kritik hinter dem Lob für die zeitliche Komponente zurückstehen muss. Gleichwohl ist zu hoffen, dass eine – möglicherweise auch deutschlandweit abgestimmte – Handlungshilfe 2.0 mehr Sicherheit für Unternehmen und Betroffene schaffen wird.

P.S.: Wir beraten unsere Mandanten individuell zu internationalen Datentransfers, auch zu einer – möglicherweise sinnhafteren – inhaltlichen Ergänzung der Standardvertragsklauseln.