Einführung
Die Datenschutz-Grundverordnung (DSGVO) regelt umfassend den Umgang mit personenbezogenen Daten in der EU. Besonders praxisrelevant sind dabei die Themen Auftragsverarbeitung, gemeinsame Verantwortung und Datenübertragung in Drittländer. Unternehmen und Organisationen stehen regelmäßig vor der Herausforderung, die rechtlichen Vorgaben korrekt einzuordnen und umzusetzen – insbesondere wenn Dienstleister oder Tochtergesellschaften außerhalb der EU eingebunden sind.
Auftragsverarbeitung
Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister (z. B. ein IT-Dienstleister oder Cloud-Anbieter) personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen verarbeitet. Die Rolle des Auftragsverarbeiters wird in Artikel 4 Abs. 8 DSGVO definiert. Grundlage der Zusammenarbeit ist ein Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO.
Wichtig: Der Verantwortliche (Art. 4 Abs. 7 DSGVO) bleibt trotz der Auslagerung der Datenverarbeitung vollumfänglich für die Einhaltung der Datenschutzvorgaben verantwortlich.
Hier gibt es ein Vertragsmuster zum Download von der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit:
Vereinbarung zur Auftragsverarbeitung (BfDI-Muster)
Gemeinsame Verantwortung
Bei der gemeinsamen Verantwortung nach Artikel 26 DSGVO bestimmen zwei oder mehrere Parteien gemeinsam die Zwecke und Mittel der Verarbeitung. Das ist häufig der Fall bei Plattformbetreibern, die mit Dritten zusammenarbeiten, oder bei Joint Ventures.
Hier muss eine Vereinbarung über die gemeinsame Verantwortung getroffen werden, in der insbesondere die jeweiligen Zuständigkeiten für die Erfüllung der Betroffenenrechte klar geregelt sind. Auch wenn intern aufgeteilt wird, haften beide Parteien gegenüber Betroffenen gemeinsam.
Legitimation des Datentransfers in Drittstaaten
Angemessenheitsbeschluss
Die einfachste Möglichkeit zur Datenübermittlung in ein Drittland besteht bei Vorliegen eines Angemessenheitsbeschlusses der EU-Kommission. Dieser bestätigt, dass das Datenschutzniveau im betreffenden Land dem der EU entspricht. Beispiele: Kanada (für bestimmte Daten), Japan oder das Vereinigte Königreich.
Standardvertragsklauseln (SCC)
Fehlt ein solcher Beschluss, kommen die Standardvertragsklauseln (SCC) nach Artikel 46 Abs. 2 lit. c DSGVO zum Einsatz. Diese vorgegebenen Vertragsmuster verpflichten den Empfänger der Daten außerhalb der EU zur Einhaltung eines mit der EU vergleichbaren Datenschutzstandards.
Spezialfall: Datentransfer in die USA
Die USA stellen datenschutzrechtlich einen Sonderfall dar – nicht zuletzt durch mehrere wegweisende Urteile des EuGH:
Safe Harbor – Schrems I
2015 kippte der Europäische Gerichtshof das Safe-Harbor-Abkommen zwischen der EU und den USA mit dem Schrems-I-Urteil, da kein angemessenes Datenschutzniveau gewährleistet war.
Privacy Shield – Schrems II
2020 folgte der nächste Rückschlag: Der EuGH erklärte auch das Privacy Shield für ungültig (Schrems II), vor allem wegen weitreichender Zugriffsbefugnisse US-Geheimdienste auf personenbezogene Daten.
Data Privacy Framework – aktueller Stand
Seit 2023 existiert das EU-U.S. Data Privacy Framework, das einen neuen Anlauf für den transatlantischen Datenaustausch darstellt. Obwohl ein neuer Angemessenheitsbeschluss vorliegt, wird dieser rechtlich angegriffen und gilt daher als unsicherer Boden.
Bei Transfer in ein Drittland immer zu beachten:
Datenschutz-Grundsätze (Art. 5 Abs. 1 DSGVO)
Jede Verarbeitung – auch in Drittländern – muss mit den Grundsätzen der DSGVO im Einklang stehen: Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Der Verantwortliche muss die Einhaltung dieser Grundsätze nachweisen können.
Transfer Impact Assessment (TIA)
Gerade bei Nutzung von SCCs sollte ein Transfer Impact Assessment (TIA) erfolgen – eine Risikoabschätzung, ob trotz vertraglicher Garantien tatsächlich ein angemessenes Datenschutzniveau besteht.
Dokumentationspflicht
Alle Maßnahmen und Entscheidungen zum Drittlandtransfer müssen umfassend dokumentiert werden. Dies ist Teil der Rechenschaftspflicht und kann bei Prüfungen durch Aufsichtsbehörden entscheidend sein.
Weitere zusätzliche Informationen finden Sie auf der Internetpräsenz der Datenschutzkonferenz der Länder.
Hier die Links zu zwei Kurzpapieren zum Download:
Kurzpapier Nr. 16
Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVO
ÜBER DEN AUTOR
Erich Soraru
Erich Soraru ist Datenschutzbeauftragter (IHK) und Datenschutzauditor (DEKRA).
Suche:
© Erich Soraru
