Nachdem in den letzten beiden Teilen der Beitragsreihe die einzelnen Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus vorgestellt und Ihre Vor- und Nachteile erläutert wurden , soll im vorliegenden vierten und letzten Part auf die konkrete Umsetzung der Standardvertragsklauseln eingegangen werden. Safe Harbor und Binding Corporate Rules werden aufgrund ihrer Komplexität gegebenenfalls in späteren gesonderten Beiträgen dargestellt.
Übersicht zur Artikelreihe "Datenschutz im Konzern":
Jeder Transfer von Daten von einer Gesellschaft in der EU an eine Konzerngesellschaft in einem Drittland muss bei der Lösung über Standardvertragsklauseln von einem entsprechenden Vertrag abgedeckt werden, der die EU-Klauseln enthält.
Ist das EU-Unternehmen verantwortliche Stelle und der Datenimporteur im Drittland Auftragsdatenverarbeiter, so sind die controller-processor Standardvertragsklauseln zu verwenden ("Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern"). Hierbei ist für Neuverträge ab dem 15. Mai 2010 zwingend auf die neue Fassung der Klauseln zurückzugreifen; die bisher gültigen Klauseln können grundsätzlich nicht mehr verwendet werden. Für Altverträge existieren jedoch Übergangsregelungen. Zu diesen und den Klausel-Änderungen habe ich einen gesonderten Beitrag geschrieben.
Werden dagegen Daten von einem Konzernunternehmen in der EU an eine Konzerngesellschaft übermittelt, die ebenfalls verantwortliche Stelle ist, liegt ein controller-controller Transfer vor. Hier stehen zwei verschiedene Sets zur Auswahl:
Das Ergebnis vorweg: Das Set II ist das Bessere; ihm sollte in der Praxis der Vorzug gegeben werden. Set II wurde von elf internationalen Wirtschaftsverbänden, darunter das International Chamber of Commerce (ICC) über einen langen Zeitraum mit der EU-Kommission mühsam ausgehandelt. Es trägt den Erfordernissen der Wirtschaft deutlich besser Rechnung und hat viele Vorteile gegenüber Set I:
Daneben hat Set II noch eine Reihe weiterer Vorteile, auf die ich hier aber nicht im Detail eingehe.
Die Datenschutzbehörden sehen allerdings Set II in Bezug auf Arbeitnehmerdaten kritisch. In dem bereits erwähnten Positionspapier heißt es unter Ziffer II.2:
"Der alternative Standardvertrag ist grundsätzlich für Arbeitnehmerdaten nicht geeignet (und evtl. ergänzungsbedürftig), da die Haftung und Auskunftspflicht des Datenexporteurs (des deutschen Arbeitgebers) eingeschränkt sind. Wertungswidersprüche zum deutschen Recht (1. Stufe) sind zu vermeiden."
Wie so oft vermeiden auch hier die Aufsichtsbehörden eine klare Stellungnahme und vernebeln ihre Aussagen mit relativierenden Phrasen wie "grundsätzlich" und "eventuell". Der Sinn der beiden Sätze erschließt sich nach meiner Auffassung nur in Zusammenschau mit einem Arbeitsbericht der ad-hoc-Arbeitsgruppe "Konzerninterner Datentransfer" vom August 2007. In diesem wird gefordert, dass bei einer konzerninternen Übermittlung von Mitarbeiterdaten an eine andere verantwortliche Stelle - insbesondere wenn das empfangende Unternehmen Befugnisse und Funktionen erhält, die an sich dem Arbeitgeber zustehen - besondere Maßnahmen zum Schutz der Mitarbeiter getroffen werden, um eine Rechtfertigung auf Grundlage des § 28 (1) Satz 1 Nr. 2 BDSG zu erreichen. Auch mit Einführung des § 32 BDSG dürfte sich hieran nichts geändert haben. Zu den geforderten Maßnahmen zählt die Arbeitsgruppe insbesondere,
"dass der Arbeitgeber umfassend Ansprechpartner für den Arbeitnehmer bleibt, d.h. auch für die Erfüllung dessen Rechte auf Auskunft, Löschung, Berichtigung, Sperrung und Schadensersatz einsteht – zusätzlich zu denjenigen Unternehmen, an welche die Daten übermittelt wurden."
Bei Set II steht die exportierende Stelle nicht für Schäden ein, die die importierende Stelle verursacht hat (Klauseln I.b, II.f und III.a) und es besteht die Option, dass die Parteien die Beantwortung von Anfragen von Betroffenen an den Datenimporteur auslagern (Klausel I.d und II.e). Dies ist wohl der Grund, warum die ad-hoc-Arbeitsgruppe des Düsseldorfer Kreises das Set II bei Mitarbeiterdaten kritisch sieht. Diese Bedenken betreffen aber die Erste Stufe (Erlaubnisnorm). Richtigerweise kann auch mit Set II für Mitarbeiterdaten ein ausreichendes Datenschutzniveau sichergestellt werden (Zweite Stufe). Insofern sind die deutschen Datenschutzbehörden nämlich an die entsprechende EU-Kommissions-Entscheidung 2004/915/EG gebunden, die das Set II anerkennt. Aufgrund der zahlreichen Nachteile des Set I kann daher Unternehmen geraten werden, auch bei Mitarbeiterdaten das Set II zu verwenden, und die im Arbeitsbericht dargestellten Voraussetzungen für die Erste Stufe durch entsprechende Ergänzungsvereinbarungen mit dem Datenimporteur zu erfüllen.
Werden Daten von vielen Datenexporteuren an viele Datenimporteure im Konzern übermittelt steigt die Zahl erforderlicher Verträge stark an. Um den administrativen Aufwand zu verringern kann mit Gruppenverträgen gearbeitet werden: Auf einem einheitlichen Vertragsdokument unterschreiben am Ende jeweils auf einer gesonderten Seite Datenexporteure und/oder Datenimporteure. Wichtig ist dabei, dass klargestellt ist, welche Unternehmen als Datenexporteure und welche als -importeure agieren und welche Daten von wem an wen zu welchem Zweck übermittelt werden. Anspruchsvoll, aber weiterhin möglich, sind Gruppenverträge, wenn der Datenfluss nicht einheitlich ist, also zum Beispiel bestimmte Daten nur an bestimmte Datenimporteure gelangen oder Datenimporteure teilweise als verantwortliche Stelle (controller) und teilweise als Auftragsdatenverarbeiter (processor) handeln. Aber auch hier lassen sich durch entsprechende Vertragsgestaltungen erhebliche Erleichterungen erzielen.
Wie bereits erwähnt, verlangen einige EU-Länder, dass die Verwendung der Standardklauseln der nationalen Aufsichtsbehörde gemeldet wird. In diesen Meldungen ist dann oft auch die Rechtsgrundlage (Erste Stufe) für den Transfer anzugeben. Mit dem Einsatz der Standardklauseln tritt so oft zu Tage, dass in der Vergangenheit bereits Daten ohne Sicherstellung eines Datenschutzniveaus übermittelt wurden oder die rechtliche Grundlage für die Übermittlung (Erste Stufe) fehlte. Trotz der damit verbundenen Risiken erscheint es vorzugswürdig, für die Zukunft den datenschutzrechtlichen Anforderungen zu genügen, als gänzlich auf die Sicherstellung eines Datenschutzniveaus zu verzichten. Empfehlenswert ist in diesem Fall aber, vor Meldung der Klauseln auch die Erste Stufe (Erlaubnisnorm) und die Einhaltung sonstiger datenschutzrechtlicher Anforderungen sicherzustellen (Bestellung von Beauftragten, Erstellung von Verzeichnissen, Mitteilung erforderlicher Informationen gegenüber Betroffenen, Einholung von Einwilligungen). Einer etwaigen Prüfung durch die Aufsichtsbehörde anlässlich der Meldung der Standardvertragsklauseln kann dann gelassener entgegengeblickt werden.
Neben der Meldung der Standardvertragsklauseln müssen in den meisten Mitgliedsstaaten auch Datenverarbeitungen als solche (z.B. Führen einer Kundendatenbank) bei einer nationalen Stelle gemeldet werden. Typischerweise sind die verantwortliche Stelle, die Betroffenen, die Verarbeitungszwecke, Datenempfänger, Sicherheitsmaßnahmen und Transfers in Drittstaaten anzugeben. Grundlage ist Artikel 18 und 19 der EU Datenschutzrichtlinie, wobei die Meldepflicht in Deutschland entfällt, wenn ein betrieblicher Datenschutzbeauftragter bestellt ist, § 4d (2) BDSG. Bei diesen Meldungen muss im Falle von Datenexporten in Drittländer unter Umständen auch eine Kopie der unterzeichneten Standardvertragsklauseln eingereicht werden. Sind die Datenverarbeitungen als solche bisher nicht gemeldet, sollten sie zeitgleich mit der Einreichung der Standardvertragsklauseln erfolgen.
Bei einem internationalen Konzern, der die Datenschutz Compliance seiner Datentransfers bisher nicht voll im Auge hatte, stellen sich damit schon bei der Planung der zeitlichen Abläufe der einzelnen Maßnahmen organisatorische Herausforderungen.
Grundsätzlich ist eine Nutzung der Standardvertragsklauseln in Englisch möglich. Wo Datenschutzbehörden eine Meldung des Vertrages in der Landessprache verlangen, kann auf die verschiedenen Sprach-Fassungen der entsprechenden Kommissionsentscheidung zurückgegriffen werden, in denen sich die Übersetzungen der Klauseln finden.
Beim Ausfüllen der Anhänge zu den Standardvertragsklauseln besteht die Herausforerung darin, die Daten und Verarbeitungszwecke einerseits ausreichend präzise wiederzugeben, andererseits aber auch nicht unnötig viele Details festzulegen, da ansonsten jede kleine Änderung bei der Datenübermittlung eine Anpassung der Verträge zur Folge hätte.
Neben den "eindeutigen" Fällen von controller-controller und controller-processor Transfers ergeben sich in der Praxis eine Vielzahl von Konstellationen, deren Beurteilung den Parteien oft schwer fällt. So zum Beispiel, wenn eine verantwortliche Stelle im Drittstaat (z.B. die Konzernmutter in den USA), Auftragsdatenverarbeitung durch ihre Tochtergesellschaften in der EU vornimmt; also ein umgekehrtes controller-processor Verhältnis, weil der controller im Drittland und nicht in der EU sitzt. Da die von der Tochter importieren und verarbeiteten Daten anschließend wieder an die Mutter zurück übermittelt werden, stellt sich die Frage, ob bei dieser Rückübermittlung die Anforderungen der Ersten Stufe (Erlaubnisnorm) und der Zweiten Stufe (angemessenes Datenschutzniveau bei der verantwortlichen Stelle im Ausland) erfüllt werden müssen. Die deutschen Aufsichtsbehörden haben hierzu in einem Positionspapier Stellung genommen; verkürzt gesagt, gelten in diesem Fall die Anforderungen der Ersten, nicht aber der Zweiten Stufe: Für den Rücktransfer müssen also im Drittland - aus dem die Daten ursprünglich kommen - keine Maßnahmen zur Sicherstellung des Datenschutzniveaus getroffen werden. In anderen EU-Ländern kann dieselbe Konstellation anders beurteilt werden, was die Handhabung entsprechender internationaler Fallgestaltungen verkompliziert.
Weiteres Hilfsmittel für den Einsatz der Standardvertragsklauseln in Sonderkonstellationen ist die Handreichung des Düsseldorfer Kreises vom 28. März 2007, in der die Aufsichtsbehörden zu bestimmten Fallgruppen der internationalen Auftragsdatenverarbeitung (controller-processor) Stellung nehmen. Leider findet man darin häufig nicht exakt die eigene Situation wieder. Es müssen dann aus den behandelten Fallgruppen allgemeine Grundsätze entwickelt und diese auf den konkreten Sachverhalt angewendet werden. Allerdings ist bei einigen der im Positionspapier behandelten Konstellationen fraglich, ob die von den Behörden vorgenommene Beurteilung heute so noch aufrechterhalten werden kann. Denn die EU-Kommission hat mit der Einführung neuer Standardvertragsklauseln für Auftragsdatenverarbeiter zum 15. Mai 2010 eine Möglichkeit vorgesehen, nach der ein Datenimporteur Subunternehmer in einem Drittland einschalten kann, ohne dass der Datenexporteur mit dem Subunternehmer einen direkten Standardvertrag benötigt. Die Aufsichtsbehörden hatten in diesen Fällen in der Regel einen Direktvertrag zwischen Datenexporteur und Subunternehmer verlangt. Die Handreichung ist deshalb vor dem Hintergrund dieser europäischen Neuentwicklung auszulegen.
Ratgeber, Muster und Checklisten
Datenschutz professionell und effizient umsetzen