Serie zu den neuen Standardvertragsklauseln – Teil 2: Datenübermittlung vom Verantwortlichen an Auftragsverarbeiter (C2P)

Diese SCC regeln die Übermittlung personenbezogener Daten an einen Auftragsverarbeiter mit Sitz in einem Drittland.

11.08.2021

Hier kommt nun unser zweiter Artikel unserer Reihe zu den neuen Standardvertragsklauseln (SCC). Nachdem wir in unserem letzten Artikel über die Situation Übermittlung von Verantwortlichen an Verantwortliche (C2C) (Modul 1 der SCC) berichtet haben, beschäftigt sich dieser Artikel mit der Übermittlung von Verantwortlichen an einen in einem Drittland sitzenden Auftragsverarbeiter (C2P, Controller to Processor – Modul 2 der SCC). Zur Entstehungsgeschichte der neuen Standardvertragsklauseln hatten wir bereits in unserem Artikel vom 08.06.2021 berichtet. In unserer Artikelserie werden wir dann noch die Drittstaatenübermittlung von einem Auftragsverarbeiter an einen weiteren (Unter-)Auftragsverarbeiter (P2P, Processor to Processor – Modul 3 der SCC) sowie von einem Auftragsverarbeiter an einem Verantwortlichen (P2C, Processor to Controller – Modul 4 der SCC) betrachten.

Modul 2 – C2P – Transfer Controller to Processor

Eine wichtige Information direkt vorab: Da in den Standardvertragsklauseln C2P auch die Rechte und Pflichten der Verantwortlichen und der Auftragsverarbeiter aus Art. 28 DSGVO im Hinblick auf die Übermittlung personenbezogener Daten von einem Verantwortlichen an einen Auftragsverarbeiter, sowie der Einsatz von Unterauftragsverarbeitern festgelegt sind, benötigt man keine gesonderten Auftragsverarbeitungsverträge bei der Anwendung der SCC.

Mini-Exkurs: SCC für innereuropäische Verarbeitungen

Bei der Gelegenheit möchten wir auch noch darauf hinweisen, dass die EU-Kommission relativ unbemerkt neben den hier besprochenen SCC auch noch Standardvertragsklauseln für innerhalb der EU stattfindende Auftragsverarbeitungen gemäß Art. 28 Abs. 7 DSGVO veröffentlicht hat. Es gibt nun also ergänzend zu den seit über 3 Jahren veröffentlichten und auch bereits überarbeiteten Standardmustern der Verbände auch ein Muster, welches von der EU-Kommission veröffentlicht wurde. Hiermit beschäftigten wir uns in diesem Artikel.

Einhaltung des Zweckbindungsgrundsatzes

Der im Drittland ansässige Datenimporteur darf die personenbezogenen Daten nur auf Weisung des Datenexporteurs verarbeiten, wobei der Datenexporteur die Möglichkeit hat, während der gesamten Laufzeit des Vertrages Weisungen zu erteilen. Die Zwecke der Verarbeitung sind in einem Anhang der SCC aufzuführen. Diese sind sozusagen die Basis der Verarbeitung, die jederzeit durch weitere Weisungen erweitert werden kann.

Eine Zweckänderung zur Verarbeitung der Daten zu eigenen Zwecken des Datenimporteurs wie im Modul 1 ist im Modul 2 nicht vorgesehen, da es sich beim Datenempfänger nicht um einen Verantwortlichen handelt, sondern um einen Auftragsverarbeiter und damit jegliche von den Weisungen des Auftraggebers abweichende Verarbeitung ausgeschlossen ist.

Einhaltung des Transparenzgrundsatzes

Der Datenexporteur hat einer betroffenen Person auf Anfrage eine Kopie der SCC mitsamt den ausgefüllten Anlagen zur Verfügung zu stellen. Ein Entgelt darf er dafür nicht verlangen. Sollten mit Herausgabe der SCC Geschäftsgeheimnisse oder andere vertrauliche Informationen offenbart werden, kann der Datenexporteur diese Angaben unkenntlich machen. Das findet allerdings seine Grenze da, wo die betroffene Person den Text nicht mehr verstehen oder ihre Rechte aufgrund der verkürzten Darstellung nicht ausüben kann. Das bedeutet, dass der Datenexporteur in diesem Fall eine aussagekräftige Zusammenfassung der SCC zur Verfügung stellen muss. Der betroffenen Person sind auf Anfrage die Gründe der Unkenntlichmachung zu nennen, soweit das möglich ist, ohne die unkenntlich gemachten Daten offenzulegen.

Die in den in Art. 13 und 14 DSGVO geregelten Informationspflichten des Datenexporteurs gegenüber der betroffenen Person gelten neben diesen Regelungen weiter und ergänzen diese.

Richtigkeit

Sollte der Datenimporteur feststellen, dass die erhaltenen Daten nicht aktuell oder falsch sind, hat er den Datenexporteur darüber zu informieren und mit ihm gemeinsam dafür Sorge zu tragen, dass die Daten berichtigt oder gelöscht werden. Hier sind also die „üblichen“ Regelungen aus der Auftragsverarbeitung in den SCC enthalten. Wir stellen uns die Frage, inwiefern es zulässig ist, diese starre Regelung durch Weisungen abzuändern und dem Auftragsverarbeiter weitreichendere Aufgaben zu übertragen als die reine Information. Unseres Erachtens könnten Auftragsverarbeiter auch in Drittstaaten durchaus entsprechende Aufgaben übernehmen. Bei solchen Aufgabenübertragungen ist jedoch darauf zu achten, dass nicht die SCC selbst geändert werden, was aufgrund des Änderungsverbots bezüglich der vorgegebenen Inhalte der SCC nicht zulässig ist, sondern lediglich ergänzende Weisungen erteilt werden.

Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Dauer der Verarbeitung ist wie bei den SCC C2C (und P2P auch, aber das ist die Zukunftsmusik des nächsten Artikels) in der Anlage der SCC festzulegen, an die sich der Datenimporteur zu halten hat. Er hat die Daten je nach Weisung durch den Datenexporteur nach Auftragsende entweder zu löschen und dem Datenexporteur dies zu bestätigen oder die Daten zurück zu übermitteln; dabei sind gegebenenfalls noch vorhandene Kopien zu löschen. Auch nach Auftragsende muss der Datenimporteur die Einhaltung der SCC bis zur Löschung oder Rückgabe der Daten sicherstellen. Insbesondere die Regelung des letzten Satzes halten wir für so gut und sinnvoll, dass wir sie in unseren Standard-AV-Vertrag (ohne Drittstaaten-Hintergrund) übernommen haben, beseitigt sie doch auch die letzten möglichen Missverständnisse, was der Auftragsverarbeiter nach Auftragsende mit den Daten anstellen darf.

Sollten nationale Rechtsvorschriften dem Datenimporteur das Löschen oder die Rückgabe der Daten untersagen, z. B. bei steuerrechtlichen Aufbewahrungserfordernissen, hat der Datenimporteur sicherzustellen, dass die Daten nur in dem Umfang und so lange verarbeitet werden, wie es zur Einhaltung der nationalen Vorschriften erforderlich ist.

Davon unabhängig hat der Datenimporteur den Datenexporteur während der Vertragslaufzeit darüber zu benachrichtigen, wenn er Grund zur Annahme hat, dass für ihn Rechtsvorschriften gelten oder künftig gelten werden, die nicht mit den Anforderungen in Klausel 14 lit. a der SCC im Einklang stehen. Klausel 14 lit. a regelt, dass die Parteien sich gegenseitig zusichern, dass sie keinen Grund zur Annahme haben, dass aufgrund nationaler Rechtsvorschriften im Empfängerdrittland der Datenimporteur an der Erfüllung seiner Pflichten gemäß der SCC gehindert wird. Hierbei sind auch die Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, wie es beispielsweise in den USA durch die Geheimdienste möglich ist, zu berücksichtigen. Der Gedanke dahinter ist, dass Rechtsvorschriften beim Datenimporteur nicht dazu führen sollen, dass eine Verarbeitung personenbezogener Daten stattfindet, die dem Wesensgehalt der Grundrechte und Grundfreiheiten widerspricht, über Maßnahmen hinausgeht, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Art. 23 Abs. 1 DSGVO aufgeführten Ziele sicherzustellen oder die im Widerspruch zu den SCC steht.

Sicherheit der Verarbeitung

Der Datenimporteur und während der Datenübermittlung auch der Datenexporteur haben zur Gewährleistung der Sicherheit, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen. Dabei ist auch der Schutz vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (Datenpanne) zu gewährleisten.

Der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und den/die Zweck(e) der Verarbeitung und die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen müssen dabei – wie immer – berücksichtigt werden. Dazu sind insbesondere die Verschlüsselung oder Pseudonymisierung bei der Datenübermittlung in Betracht zu ziehen, sofern der Verarbeitungszweck trotzdem weiterhin erreicht werden kann. Bei einer Pseudonymisierung behält der Datenexporteur die Informationen, die einen Personenbezug zur betroffenen Person ermöglichen, soweit das möglich ist, unter eigener Kontrolle.

Die umzusetzenden TOM müssen regelmäßig auf den Prüfstand, um festzustellen, ob sie weiterhin geeignet sind, das notwendige Schutzniveau sicherzustellen. Den mit der Verarbeitung der Daten betrauten Personen darf nur so weit Zugang zu den personenbezogenen Daten zu ermöglicht werden, wie es zur Auftragserfüllung notwendig ist. Die Verpflichtung auf die Vertraulichkeit dieses Personenkreises ist obligatorisch (siehe auch Art. 28 Abs. 3 lit. b DSGVO). Eine anderweitige angemessene gesetzliche Verschwiegenheitsverpflichtung kann diese Verpflichtung ersetzen.

Sollte eine Datenpanne bei dem Datenimporteur auftreten, hat dieser unverzüglich geeignete Maßnahmen zur Behebung der Datenpanne oder zur Minimierung der negativen Auswirkungen zu ergreifen. Der Datenimporteur hat den Datenexporteur unverzüglich über die Datenpanne zu informieren. Diese Meldung muss mindestens die Angaben

  • Kontaktdaten einer Anlaufstelle für weitere Informationen,
  • eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze),
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
  • die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen

enthalten. Dies entspricht im Wesentlichen den von der Meldepflicht gemäß Art. 33 DSGVO betroffenen Angaben. Wir begrüßen die hier gesetzte „unverzügliche“ Bearbeitungszeit, da diese häufig bei der Verhandlung von Verträgen zur Auftragsverarbeitung von sehr strengen Auftraggebern (bzw. deren Datenschutzbeauftragten) auf konkrete und meist sehr kurze Fristen („innerhalb von maximal 24 Stunden“) festgelegt werden soll, was vielfach nicht praxisgerecht ist. Um es ganz deutlich zu sagen: Wenn nicht alle Informationen vorliegen, können diese peu à peu ohne unangemessene Verzögerung nachgereicht werden, wenn sie bekannt werden. Die grundsätzliche Information, dass etwas passiert ist, muss aber dennoch schnellstmöglich fließen. Hierbei hat der Datenimporteur mit dem Datenexporteur zusammenzuarbeiten, so dass der Datenexporteur seinen Pflichten gemäß Art. 33 DSGVO und Art. 34 DSGVO (Benachrichtigung der betroffenen Person) nachkommen kann.

Umgang mit sensiblen Daten

Sollte die Verarbeitung personenbezogener Daten auch besondere Arten personenbezogener Daten gemäß Art. 9 DSGVO umfassen, hat der Datenimporteur spezielle Beschränkungen zu beachten sowie Garantien zu gewähren, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen. Das sind beispielsweise eine besonders strenge Zweckbindung, striktere Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.

Weiterübermittlungen der Daten

Eine Weiterübermittlung der personenbezogenen Daten durch den Datenimporteur an Dritte darf nur auf Weisung des Datenexporteurs erfolgen. Hierbei ist zu beachten, dass diese Weiterübermittlung an einen Dritten, der im selben Land wie der Datenimporteur oder in einem anderen Drittland außerhalb der EU ansässig ist, nur zulässig ist, wenn dieser Dritte sich mit der Bindung an die SCC im entsprechenden Modul einverstanden erklärt.

Darüber hinaus ist eine Weiterübermittlung auch möglich, wenn der Datenimporteur alle weiteren Garantien der SCC einhält und

  • ein Angemessenheitsbeschluss gemäß 45 DSGVO für das Empfängerland vorliegt, oder
  • der Dritte andere Garantien gemäß Art. 46 oder Art. 47 DSGVO gewährleistet oder
  • die Weiterübermittlung erforderlich ist, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren oder
  • eine Weiterübermittlung zum Schutz von lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.

Dokumentation und Einhaltung der Klauseln

Die in Art. 5 DSGVO definierte Rechenschaftspflicht wird auf den Datenimporteur ausgeweitet. Er hat Anfragen des Datenexporteurs bezüglich der Verarbeitungen auf Basis der SCC unverzüglich und vollständig zu beantworten.

Beide Parteien haben die Einhaltung der SCC nachzuweisen. Insbesondere der Datenimporteur hat dazu entsprechende Aufzeichnungen über die im Auftrag durchgeführten Tätigkeiten zu führen.

Der Datenimporteur muss dem Datenexporteur alle Aufzeichnungen, die zum Nachweis der Pflichten aus den SCC dienen, auf Verlangen zur Verfügung stellen. Ebenso hat er dem Datenexporteur auf Nachfrage die Möglichkeit einzuräumen, alle Verarbeitungstätigkeiten, die im Zusammenhang mit dem erteilten Auftrag stehen, in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung der getroffenen Vereinbarungen zu prüfen, und ihn dabei zu unterstützen. Hierzu kann der Datenexporteur die Kontrollen selbst durchführen oder dabei einschlägige Zertifizierungen des Datenimporteurs zurückgreifen.

Die Prüfungen sind in angemessener Zeit voranzukündigen und können durch den Datenexporteur selbst oder einen unabhängigen beauftragten Prüfer durchgeführt werden. Auf Anfrage durch die Aufsichtsbehörden haben die Parteien diese Informationen, einschließlich der Ergebnisse von Prüfungen, zur Verfügung zu stellen.

Fazit

Das Modul 2 der SCC beinhaltet viele Regelungen, die auch in den „normalen“ innereuropäischen Auftragsverarbeitungsverträgen enthalten sind. Diese werden ergänzt durch weitere Pflichten, die dem Auftragsnehmer im Drittland auferlegt werden, die sich ansonsten, bei Anwendbarkeit, aus der DSGVO direkt ergeben hätten.

Weiterhin ist es nicht ausreichend, lediglich die SCC mit dem Dienstleister zu vereinbaren und auf weitere Prüfungen der Gegebenheiten im Drittland zu verzichten. Bei einer Datenübermittlung in einen unsicheren Drittstaat ist es darüber hinaus notwendig, zu prüfen, ob zusätzliche Maßnahmen ergriffen werden müssen, um im Drittstaat bestehende Rechtsschutzlücken zu schließen und die Einhaltung des unionsrechtlichen Schutzniveaus zu gewährleisten. Zur Beurteilung von Datentransfers in Drittstaaten empfiehlt der Europäische Datenschutz-Ausschuss (EDSA), die Übermittlungen personenbezogener Daten in sechs Schritten zu prüfen und stellt dafür eine Empfehlung des Europäischen Datenschutzausschuss (EDSA) bezüglich Drittstaatenübermittlung zur Verfügung (wir berichteten). Schließen Sie also nicht nur die neuen SCC ab, sondern verfolgen Sie unbedingt auch den in den Klauseln 14 und 15 der SCC geforderten risikobasierten Ansatz, sofern Sie das bislang noch nicht gemacht haben.

Für diejenigen, denen aufgefallen ist, dass in den SCC C2P anders als in den SCC C2C die bereits im dazugehörigen Artikel erwähnte „kleine DSGVO“ fehlt: Das liegt daran, dass Auftragsverarbeiter weisungsgebunden tätig werden und eben keine eigenverantwortlichen Entscheidungen treffen dürfen. Damit entfällt die enge vertragliche Bindung an die DSGVO.

Benötigen Sie Unterstützung im Rahmen Ihrer Datenübermittlungen in einen Drittstaat? Rufen Sie uns an, wir helfen Ihnen gerne!

 

_________________________________________________________________________

Dieser Artikel ist Teil unserer Reihe zu den neuen Standardvertragsklauseln. Die anderen Artikel finden Sie hier: