Nachdem wir in diesem Beitrag über die Orientierungshilfe zum Internationalen Datentransfer des Baden-Württembergischen Landesdatenschutzbeauftragten vom 25.08.2020 berichtet hatten, und dazu auch einen Mustervertrag vorgestellt haben, hat der Datenschutzbeauftragte nun „nachgelegt“. In einer zweiten Version der Orientierungshilfe, die hier abrufbar ist, werden verschärfte Anforderungen an die Zusatzvereinbarung zu den Standardvertragsklauseln gestellt.

Datentransfer nur noch eingeschränkt zulässig

Zur Erinnerung: Nach dem Schrems-II-Urteil des Europäischen Gerichtshofes sind Transfers personenbezogener Daten ins Nicht-EU-Ausland (dazu genügt es bereits, wenn die Daten aus einem Nicht-EU-Land abrufbar sind) nur noch unter eingeschränkten Voraussetzungen zulässig. Insbesondere die bis dato verwendeten sog. Standardvertragsklauseln (ein Mustervertrag der Europäischen Kommission) können in vielen Fällen bestenfalls mit Ergänzungen verwendet werden.

Neue Forderungen aus Baden-Württemberg

Der Landesdatenschutzbeauftragte Baden-Württemberg fordert nun ergänzend zu den bisher verlangten Regelungen Folgendes:

• Pflicht zur Information des Betroffenen über die Einschaltung eines Unterauftragsverarbeiters: Der Datenimporteur, also der außerhalb der EU ansässige Dienstleister, soll nun verpflichtet werden, dem Betroffenen die Einschaltung von Unterauftragsverarbeitern mitzuteilen. Dies allerdings nur, soweit dem Dienstleister der Betroffene bekannt ist (wozu man wohl auch die Verfügbarkeit entsprechender Kontaktdaten wird fassen müssen). Die Pflicht ist nicht unproblematisch. Denn gerade ausländische Dienstleister „leben“ von teils recht tiefen Verarbeitungsketten. Es ist zu befürchten, dass diese Verpflichtung, wenn sie denn tatsächlich umgesetzt würde, zu einer regelrechten Informationsflut führen würde. Man darf getrost bezweifeln, dass solche Informationen für den Betroffenen besonders nützlich sind. Was fängt man beispielsweise mit der Information an, dass neben der Hauptniederlassung des Dienstleisters z. B. in den USA noch weitere Subdienstleister in Singapur, Hong Kong und anderswo eingeschaltet sind? Letztlich geht diese Informationspflicht sogar über die Pflicht des eigentlich Verantwortlichen hinaus, was in einer Auftragsverarbeitungskonstellation eher merkwürdig anmutet.
• Erweiterung der Haftung I: Nicht nur der in Europa ansässige Verantwortliche, sondern auch der Dienstleister soll für Schäden haften, die der Betroffenen durch die Datenverarbeitung erleidet. Letztlich läuft dies auf eine systemfremde Durchbrechung von Art. 82 Abs. 2 Satz 2 DSGVO hinaus, denn nach dieser Norm haftet der Auftragsverarbeiter an sich nur, wenn er speziell gegen seine eigenen Pflichten verstößt. Die Übernahme der Haftung auch für Verstöße des Auftraggebers dürfte für die meisten Anbieter aber sehr abschreckend wirken. Die Durchsetzbarkeit derartiger Ansprüche gegen im Ausland ansässige Anbieter wird eine weitere gravierende Hürde darstellen.
• Erweiterung der Haftung II: In die gleiche Richtung weist die Forderung, der ausländische Auftragnehmer müsse – sogar verschuldensunabhängig! – für staatliche Datenzugriffe haften. Spätestens dies wird kaum ein ausländischer Anbieter ernsthaft akzeptieren können. Diese Forderung widerspricht nach Meinung des Autors fundamentalen – jedenfalls deutschen – Rechtsgrundsätzen. Man könnte beinahe den Eindruck gewinnen, diese nun geforderten vertraglichen Ergänzungen seien geradezu darauf ausgelegt, von den Anbietern abgelehnt werden zu müssen.

Zudem hat der Landesdatenschutzbeauftragte aus Baden-Württemberg einzelne Punkte konkretisiert, die bereits in der ersten Fassung der Orientierungshilfe enthalten waren.

Es bleibt darauf hinzuweisen, dass selbst mit diesen massiven Verschärfungen keineswegs ein Freifahrtschein für Datenübermittlungen ins Nicht-EU-Ausland verbunden wäre. Im Gegenteil ist es sehr zweifelhaft, ob mit den Ergänzungen allein ggf. im Nicht-EU-Ausland bestehende rechtsstaatliche Mängel, wie sie der EuGH beispielsweise für die USA festgestellt hat, überwunden werden können. Hier werden meist zusätzliche Maßnahmen wie Verschlüsselung oder Anonymisierung notwendig sein (interessanter Nebenaspekt: Die Pseudonymisierung hat der Landesdatenschutzbeauftragte Baden-Württemberg als denkbare Kompensationsmaßnahme aus Version 2 seiner Orientierungshilfe wieder entfernt, nachdem sie in der ersten Fassung noch enthalten war). Nicht betroffen sind Transfers in den Europäischen Wirtschaftsraum und in Länder, für die ein wirksamer Angemessenheitsbeschluss existiert (Liste ist hier abrufbar).

Neuer Mustervertrag zum Download

Wir haben unseren Mustervertrag entsprechend den Forderungen des Datenschutzbeauftragten angepasst (Download hier). Der Vertrag bezieht sich nur auf eine Übermittlung im Rahmen einer Auftragsverarbeitungssituation auf Basis der Standardvertragsklauseln 2010/87/EU, also die „klassische“ Konstellation der Beauftragung eines IT-Dienstleisters.

Link zum Mustervertrag Version 1.1