Nachdem der Europäische Gerichtshof den „Safe-Harbour“-Beschluss vor circa einem Jahr zu Fall gebracht hatte, herrschte eine gewisse Ratlosigkeit im transatlantischen Datenverkehr. Der Nachfolger „Privacy Shield“ ist seit Juli aktiv. Die EU-Kommission erkennt das Datenschutzniveau als gleichwertig an, wenn sich ein Unternehmen dem „Privacy Shield“ unterwirft. Was müssen deutsche Auftraggeber nun beachten, wenn der Auftragnehmer (oder dessen Subunternehmer) das „Privacy Shield“ als Legitimationsgrundlage anbietet?
ZWEI-STUFEN-TEST
Nach wie vor gilt der Zwei-Stufen-Test. Damit ist auf erster Stufe zunächst die Frage der Rechtmäßigkeit der Übermittlung als solcher zu klären. Auf zweiter Stufe ist dann die Frage der Übermittlung ins Nicht-EWR-Ausland zu beantworten.
Für die erste Stufe gilt, dass auch bei einer klassischen Auftragsdatenverarbeitungssituation (z. B. Miete von Online-Speicherplatz, Cloud-Leistungen, Rechenzentrumsoutsourcing etc.) die Einschaltung eines Auftragnehmers in den USA keine Auftragsdatenverarbeitung im Sinne des deutschen Datenschutzrechts darstellt. Die gesetzliche Privilegierung gilt ausdrücklich nur, soweit der Auftragnehmer im Europäischen Wirtschaftsraum sitzt. Nur dann fingiert das Gesetz (§§ 3 Abs. 8 S. 2, 11 BDSG), dass keine Übermittlung vorliegt und der Auftragnehmer insoweit als integrierter Teil der verantwortlichen Stelle betrachtet wird. Die Übermittlung an einen Auftragnehmer außerhalb des EWR ist damit an den üblichen Erlaubnistatbeständen zu messen. Wenn – wie in der Regel – keine Einwilligung aller Betroffenen vorliegt, kommen also primär die §§ 28 und 29 BDSG ins Spiel. Das hat Auswirkungen, insbesondere wenn es um „sensitive“ Daten im Sinne von § 3 Abs. 9 BDSG geht (also z. B. Religion, ethnische Herkunft, sexuelle Orientierung etc.): Denn da die sehr strengen Erlaubnistatbestände der §§ 28 und 29 BDSG in üblichen ADV-Situationen regelmäßig nicht eingreifen, gehen jedenfalls die deutschen Datenschutzbehörden davon aus, dass die Einschaltung eines Auftragnehmers im Nicht-EWR-Ausland regelmäßig unzulässig sei (vgl. Orientierungshilfe Cloud-Computing, Version 2.0 vom 09.10.2014, S. 40). Ob dem zu folgen ist, erscheint allerdings fragwürdig, weil sowohl der „Privacy Shield“ als auch die nach wie vor anerkannten EU-Standardvertragsklauseln für die Einschaltung von Auftragnehmern von der Möglichkeit einer Übermittlung auch sensitiver Daten ausgehen.
GLEICHWERTIGES DATENSCHUTZNIVEAU VERBINDLICH
Hat man die erste Stufe überwunden, ist die zweite Stufe ebenfalls genommen, soweit sich das empfangende US-Unternehmen dem „Privacy Shield“ unterwirft. Dieses Regelwerk erlaubt US-Unternehmen eine Selbstzertifizierung, wie dies schon unter „Safe Harbour“ möglich war. Auf nachhaltige Kritik an dem neuen Instrument musste man nicht lange warten. Gleichwohl ist der Angemessenheitsbeschluss der EU-Kommission zunächst rechtlich verbindlich, wenn auch die nationalen Aufsichtsbehörden – auch dies ein Ausfluss der EuGH-Entscheidung zu „Safe Harbour“ – im Einzelfall anders entscheiden können.
UMSETZUNG BEI DER AUFTRAGSDATENVERARBEITUNG
Gleichwohl stellen sich in der konkreten Umsetzung einige Fragen. Zunächst gilt – „Privacy Shield“ hin oder her – dass die Übermittlung auf erster Stufe gerechtfertigt werden muss, was jedenfalls einen den Anforderungen von § 11 BDSG entsprechenden Auftragsdatenverarbeitungsvertrag erfordert (wenn auch – s.o. – es sich nicht um eine Auftragsdatenverarbeitung im Sinne des BDSG handelt). Somit sind die Mindestinhalte aus dem 10-Punkte-Katalog schriftlich festzulegen. Im Zweifel (im Einzelnen ist das umstritten) gilt hier ein echtes Schriftformerfordernis, d. h. es sind tatsächliche Unterschriften unter einen Vertrag erforderlich. Wie bereits oben angesprochen sollten Gegenstand des Auftrages im Zweifel keine „sensitiven“ Daten sein, will man nicht Ärger mit der Aufsichtsbehörde herausfordern.
BENACHRICHTIGUNGSERFORDERNIS
Noch ungeklärt ist, wie mit dem Benachrichtigungserfordernis umzugehen ist, das der „Privacy Shield“ statuiert. Wie schon unter „Safe Harbour“ müssen die Betroffenen umfassend und proaktiv über die Übermittlung an ein US-Unternehmen informiert werden. Hier stellt sich die Frage, wer diese Information übernehmen soll. Der „Privacy Shield“ erlegt die Pflicht dem US-Unternehmen auf. Da gerade in der Auftragsdatenverarbeitung jedoch der Auftragnehmer nicht unbedingt Kenntnis darüber hat, wessen Daten er eigentlich verarbeitet und es häufig auch kaum opportun erscheint, dass die Betroffenen „aus heiterem Himmel“ von einem Auftragnehmer angesprochen werden, müsste an sich der Auftraggeber die Information übernehmen. Damit zeigt sich jedoch ein gravierender Nachteil des „Privacy Shield“: Denn während bei einer üblichen Auftragsdatenverarbeitung – sei es innerhalb des Europäischen Wirtschaftsraumes, sei es auf Basis der EU-Standardvertragsklauseln mit Unternehmen außerhalb des EWR – die Betroffenen nicht en detail über den Umstand der Verarbeitung aufgeklärt werden müssen, wird die Informationspflicht nach dem „Privacy Shield“ den Widerstand einzelner Betroffener geradezu herausfordern. Wenn das Erfordernis in der Praxis somit nicht unter Verstoß gegen den „Privacy Shield“ ignoriert werden soll, wird dieses einige Unruhe stiften, die ein auslagerndes Unternehmen nicht unbedingt anstreben wird. Wer das vermeiden möchte, muss somit über alternative Instrumente wie die EU-Standardvertragsklauseln nachdenken oder die Daten von vornherein so anonymisieren bzw. verschlüsseln, dass keine Übermittlung personenbezogener Daten mehr vorliegt.
Eine Übersicht zu den wesentlichen Aspekten des „Privacy Shield“ bieten wir hier zum Download.