Auftragsverarbeitung: Grundlagen der Vertragsgestaltung ... / 6 Ausländische Auftragnehmer in NIcht-EU-Ländern

Auch in Ländern, die nicht zur EU gehören, spielt die EU-Datenschutz-Grundverordnung eine Rolle, wenn Daten von Personen betroffen sind, die sich in der EU befinden.^[1] Das bedeutet, dass man die Vorschriften  (Art. 28 DSGVO) grundsätzlich auch bei Auftragsverarbeitern in Ländern, die nicht zur EU gehören, anwenden muss. Bei der Auswahl der Auftragsverarbeiter sollte man darauf achten, dass das betreffende Land über vergleichbare Bestimmungen zum Datenschutz verfügt wie die EU.

Am 12. Juli 2016 hat die Europäische Kommission das Abkommen EU-US-Datenschutzschild (EU-US Privacy Shield) angenommen. Mit seinem am 16. Juli verkündeten Urteil erklärte der EuGH den Privacy Shield-Beschluss 2016/1250 für ungültig mit folgender Begründung:

Die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten sind den Vorschriften der EU nicht gleichwertig. Im Privacy-Shield-Beschluss werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt und die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Auch der im Privacy-Shield-Beschluss 2016/1250 vereinbarte Ombudsmechanismus eröffnet den betroffenen Personen keinen Rechtsweg, mit dem man die Gleichwertigkeit des Datenschutzes zu den europäischen Vorschriften durchsetzen könnte.

Der EuGH hat aber am Schluss des Urteils klar festgelegt, welches Recht nun anwendbar ist. Zu der Frage, ob die Wirkungen dieses Beschlusses aufrechtzuerhalten sind, um die Entstehung eines rechtlichen Vakuums zu vermeiden, sei festzustellen, dass durch die Nichtigerklärung eines Angemessenheitsbeschlusses wie des DSS-Beschlusses kein rechtliches Vakuum entstehen kann (Art. 49 DSGVO).

Der Europäische Datenschutzausschuss (EDSA) hat sich am 23. Juli 2020 auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems II – Urteil des Europäischen Gerichtshofs zum Datentransfer in Länder außerhalb der EU geeinigt. Zu beachten ist:

• Es gibt keine "Gnadenfrist" für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten "Privacy Shield". Die Umstellung muss ohne Verzögerung erfolgen.
• Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.
• Wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft, muss man seine Verträge mit den mit den Dienstleistern prüfen, besonders, wenn nicht sicher ist, ob Daten in ein Drittland gesendet werden.

[1] Art. 3 DSGVO.