Kanzlei Dr. Thomas Helbing - Newsletter Datenschutzrecht

Leitfaden "Cloud Computing - Recht, Datenschutz & Compliance" erschienen

admin — Wed, 01 Dec 2010 22:43:08 +0000

Ich habe in der Expertengruppe "Recht und Compliance" des EuroCloud Deutschland_eco e.V. an einem Leitfaden zum Thema Cloud Computing und Datenschutz mitgearbeitet. Das gemeinsam mit Kollegen erarbeitete 34seitige Werk ist nun fertig und erschienen. Wenn Sie eine kostenlose, gedruckte Fassung des Leitfadens möchten, kontaktieren Sie mich bitte.

Aus der Einleitung: "Mit dem Leitfaden Recht, Datenschutz & Compliance bekommen sowohl Anbieter als auch Anwender eine Richtlinie an die Hand, die bei der sicheren Vertragsgestaltung und der Auswahl des richtigen Dienstleisters hilft. Der Leitfaden bildet die Grundlage für die richtige Einordnung der rechtlichen Bestimmungen. Dabei konzentriert er sich auf den Bereich „Software as a Service“ als „Public Cloud“-Dienst und erörtert die besonderen Anforderungen hinsichtlich des Datenschutzes und die – je nach Anwendungszweck – erweiterten Vorgaben im steuerrechtlichen und betrieblichen Bereich. Die Themenübersicht ist abgeleitet aus den Prüfkriterien des Euro-Cloud SaaS-Gütesiegels, das „Software as a Service“-Angebote in Bezug auf Serviceerbringung, Datensicherheit, Datenschutz, Vertragsgestaltung und Interoperabilität untersucht.

UPDATE 9. Okt 2011: Zwischenzeitlich liegt auch die Entschließung der 82. Konferenz der Datenschutzaufsichtsbehörden vom 28./29. September 2011 zur datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing vor, sowie die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder

Wenn Sie Fragen zu diesen Dokumenten oder zum Thema Cloud Computing und Datenschutz, Vertragsgestaltung und Compliance haben, kontaktieren Sie mich bitte gerne.

Inhalt

1. Impressum
2. Vorwort
3. Einleitung
4. Rechtliche Anforderungen
5. Kernpunkte zur Auswahl des Cloud-Anbieters
6. Kernpunkte eines Vertrages aus datenschutzrechtlicher Sicht
6.1 Form
6.2 Gegenstand des Auftrags
6.3 Auslandssachverhalte (einschließlich eingesetzter
ausländischer Ressourcen und Subunternehmer)
6.4 Verantwortlichkeit
6.5 Kontrollrechte des Nutzers
6.6 Technisch-organisatorische Maßnahmen
6.7 Einschaltung von Subunternehmern und deren Kontrolle
6.8 Laufzeit und Rückgabe von Daten
7. Produkt- und branchenspezifische Besonderheiten
7.1 Finanzdienstleistungen
7.2 Telekommunikationsgesetz
7.3 Steuerrechtliche Buchführungspflicht
7.4 Handelsrechtliche Buchführungspflicht
7.5 Berufsgeheimnisträger
8. Checkliste Vertrags elemente
8.1 Vertragsabschluss und Vertragsgestaltung
8.2 Wirkung auf Unterauftragnehmer
8.3 Leistungsverrechnung
8.4 Leistungsstörungen
8.5 Vertragskündigung
8.6 Insolvenz des Auftragnehmers
8.7 Compliance
9. Glossar Cloud Computing
10. Quellenachweise
11. Rechtlicher Hinweis
12. Autoren

Vortrag CloudConf 2010 Stuttgart - Cloud Computing / SaaS: Verträge und Datenschutz

admin — Sun, 14 Nov 2010 20:53:33 +0000

Der Beitrag enthält Links zu den Folien meiner Präsentation auf der CloudConf 2010 in Stuttgart zum Thema "Cloud Computing/ SaaS: Verträge datenschutzkonform und rechtssicher gestalten".

Die Folien des Vortrags können sie hier herunterladen.

Wenn Sie Fragen, Anregungen oder Kritik haben, kontaktieren Sie mich.

Folie 10

Cloud Computing und Datenschutz Stellungnahme des Unabhängigen Landeszentrums für Datenschutz (ULD) - der Datenschutzaufsichtsbehörde für Unternehmen in Schleswig-Holstein - zum Thema Cloud Computing und Datenschutz

Folie 11

Leitfaden "Cloud Computing & Datenschutz" des EuroCloud Deutschland_eco e.V. (erscheint demnächst, siehe www.eurocloud.de)

Folie 12

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter, Bundesamt für Sicherheit in der Informationstechnik, Stand 27.09.2010, Entwurf

Folie 19

Siehe in meiner Linksammlung das Thema "USA"
Beschluss des Düsseldorfer Kreises zu Safe Harbor, Sitzung des Düsseldorfer Kreises am 28./29. April 2010 in Hannover, "Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen"
Mein Artikel "Verschärfte Anforderungen für Datentransfers in die USA unter Safe Harbor"

Folie 20

EU Standardvertragsklauseln für die Übermittlung an Auftragsdatenverarbeiter in Drittländern (Controller - Processor) , gültig seit 15. Mai 2010

Folie 22

Siehe Mein Artikel "Neue Regeln für Verträge mit Datenverarbeitern außerhalb der EU"

Folie 24

Siehe in meiner Linksammlung das Thema "Binding Corporate Rules"

Datenschutz im Konzern - Einsatz der EU-Standardvertragsklauseln in der Praxis (Teil 3)

admin — Thu, 05 Aug 2010 19:40:32 +0000

Von Rechtsanwalt Dr. Thomas Helbing

Nachdem in den ersten beiden Teilen des Beitrages die einzelnen Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus vorgestellt (Teil 1) und Ihre Vor- und Nachteile erläutert wurden (Teil 2), soll im vorliegenden dritten und letzten Part auf die konkrete Umsetzung der Standardvertragsklauseln eingegangen werden. Safe Harbor und Binding Corporate Rules werden aufgrund ihrer Komplexität gegebenenfalls in späteren gesonderten Beiträgen dargestellt.

Jeder Transfer von Daten von einer Gesellschaft in der EU an eine Konzerngesellschaft in einem Drittland muss bei der Lösung über Standardvertragsklauseln von einem entsprechenden Vertrag abgedeckt werden, der die EU-Klauseln enthält.

1) Auswahl des richtigen Klausel-Sets

Ist das EU-Unternehmen verantwortliche Stelle und der Datenimporteur im Drittland Auftragsdatenverarbeiter, so sind die controller-processor Standardvertragsklauseln zu verwenden ("Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern"). Hierbei ist für Neuverträge ab dem 15. Mai 2010 zwingend auf die neue Fassung der Klauseln zurückzugreifen; die bisher gültigen Klauseln können grundsätzlich nicht mehr verwendet werden. Für Altverträge existieren jedoch Übergangsregelungen. Zu diesen und den Klausel-Änderungen habe ich einen gesonderten Beitrag geschrieben.

Werden dagegen Daten von einem Konzernunternehmen in der EU an eine Konzerngesellschaft übermittelt, die ebenfalls verantwortliche Stelle ist, liegt ein controller-controller Transfer vor. Hier stehen zwei verschiedene Sets zur Auswahl:

Set I aus dem Jahre 2001 und

Set II aus dem Jahre 2004, die "Alternativen Klauseln"

Das Ergebnis vorweg: Das Set II ist das Bessere; ihm sollte in der Praxis der Vorzug gegeben werden. Set II wurde von elf internationalen Wirtschaftsverbänden, darunter das International Chamber of Commerce (ICC) über einen langen Zeitraum mit der EU-Kommission mühsam ausgehandelt. Es trägt den Erfordernissen der Wirtschaft deutlich besser Rechnung und hat viele Vorteile gegenüber Set I:

Nach dem Set I haften Exporteur und Importeur gesamtschuldnerisch, eine Regelung die in einem "normalen" Vertrag kaum je eine Partei akzeptieren würde. Bei Set II ist dagegen jede Partei grundsätzlich nur für selbst verursachte Schäden verantwortlich, und Strafschadenersatzansprüche (punitive damages) sind ausdrücklich ausgeschlossen. Allein diese Verbesserung macht Set II zum klaren Favoriten.

Das Set I verpflichtet den Datenimporteur Ratschläge (advice) der Aufsichtsbehörden des Datenexporteurs Folge zu leisten: eine weitgehende und vage Regelung (die so übrigens bei den neuen controller-processor Regelungen auch noch vorhanden ist). Im Set II muss nur noch bestandskräftigen, also mit Rechtsmitteln nicht mehr angreifbaren, verbindlichen Entscheidungen (decisions) der Datenschutzbehörden Folge geleistet werden.

Set II sieht ausdrücklich die Möglichkeit vor, die Standardvertragsklauseln durch einen Vertrag zu ergänzen, der die kommerziellen Fragen regelt. Und: Der Anhang B, in welchem die zu transferierenden Daten beschrieben werden, kann angespasst und ergänzt werden. Dies stellt einen großen Vorteil dar, wenn es zu Änderungen der Datentransfers oder -verarbeitungen kommt.

Daneben hat Set II noch eine Reihe weiterer Vorteile, auf die ich hier aber nicht im Detail eingehe.

Die Datenschutzbehörden sehen allerdings Set II in Bezug auf Arbeitnehmerdaten kritisch. In dem bereits erwähnten Positionspapier heißt es unter Ziffer II.2:

"Der alternative Standardvertrag ist grundsätzlich für Arbeitnehmerdaten nicht geeignet (und evtl. ergänzungsbedürftig), da die Haftung und Auskunftspflicht des Datenexporteurs (des deutschen Arbeitgebers) eingeschränkt sind. Wertungswidersprüche zum deutschen Recht (1. Stufe) sind zu vermeiden."

Wie so oft vermeiden auch hier die Aufsichtsbehörden eine klare Stellungnahme und vernebeln ihre Aussagen mit relativierenden Phrasen wie "grundsätzlich" und "eventuell". Der Sinn der beiden Sätze erschließt sich nach meiner Auffassung nur in Zusammenschau mit einem Arbeitsbericht der ad-hoc-Arbeitsgruppe "Konzerninterner Datentransfer" vom August 2007. In diesem wird gefordert, dass bei einer konzerninternen Übermittlung von Mitarbeiterdaten an eine andere verantwortliche Stelle - insbesondere wenn das empfangende Unternehmen Befugnisse und Funktionen erhält, die an sich dem Arbeitgeber zustehen - besondere Maßnahmen zum Schutz der Mitarbeiter getroffen werden, um eine Rechtfertigung auf Grundlage des § 28 (1) Satz 1 Nr. 2 BDSG zu erreichen. Auch mit Einführung des § 32 BDSG dürfte sich hieran nichts geändert haben. Zu den geforderten Maßnahmen zählt die Arbeitsgruppe insbesondere,

"dass der Arbeitgeber umfassend Ansprechpartner für den Arbeitnehmer bleibt, d.h. auch für die Erfüllung dessen Rechte auf Auskunft, Löschung, Berichtigung, Sperrung und Schadensersatz einsteht – zusätzlich zu denjenigen Unternehmen, an welche die Daten übermittelt wurden."

Bei Set II steht die exportierende Stelle nicht für Schäden ein, die die importierende Stelle verursacht hat (Klauseln I.b, II.f und III.a) und es besteht die Option, dass die Parteien die Beantwortung von Anfragen von Betroffenen an den Datenimporteur auslagern (Klausel I.d und II.e). Dies ist wohl der Grund, warum die ad-hoc-Arbeitsgruppe des Düsseldorfer Kreises das Set II bei Mitarbeiterdaten kritisch sieht. Diese Bedenken betreffen aber die Erste Stufe (Erlaubnisnorm). Richtigerweise kann auch mit Set II für Mitarbeiterdaten ein ausreichendes Datenschutzniveau sichergestellt werden (Zweite Stufe). Insofern sind die deutschen Datenschutzbehörden nämlich an die entsprechende EU-Kommissions-Entscheidung 2004/915/EG gebunden, die das Set II anerkennt. Aufgrund der zahlreichen Nachteile des Set I kann daher Unternehmen geraten werden, auch bei Mitarbeiterdaten das Set II zu verwenden, und die im Arbeitsbericht dargestellten Voraussetzungen für die Erste Stufe durch entsprechende Ergänzungsvereinbarungen mit dem Datenimporteur zu erfüllen.

2) Praktische Hinweise

Werden Daten von vielen Datenexporteuren an viele Datenimporteure im Konzern übermittelt steigt die Zahl erforderlicher Verträge stark an. Um den administrativen Aufwand zu verringern kann mit Gruppenverträgen gearbeitet werden: Auf einem einheitlichen Vertragsdokument unterschreiben am Ende jeweils auf einer gesonderten Seite Datenexporteure und/oder Datenimporteure. Wichtig ist dabei, dass klargestellt ist, welche Unternehmen als Datenexporteure und welche als -importeure agieren und welche Daten von wem an wen zu welchem Zweck übermittelt werden. Anspruchsvoll, aber weiterhin möglich, sind Gruppenverträge, wenn der Datenfluss nicht einheitlich ist, also zum Beispiel bestimmte Daten nur an bestimmte Datenimporteure gelangen oder Datenimporteure teilweise als verantwortliche Stelle (controller) und teilweise als Auftragsdatenverarbeiter (processor) handeln. Aber auch hier lassen sich durch entsprechende Vertragsgestaltungen erhebliche Erleichterungen erzielen.

Wie bereits erwähnt, verlangen einige EU-Länder, dass die Verwendung der Standardklauseln der nationalen Aufsichtsbehörde gemeldet wird. In diesen Meldungen ist dann oft auch die Rechtsgrundlage (Erste Stufe) für den Transfer anzugeben. Mit dem Einsatz der Standardklauseln tritt so oft zu Tage, dass in der Vergangenheit bereits Daten ohne Sicherstellung eines Datenschutzniveaus übermittelt wurden oder die rechtliche Grundlage für die Übermittlung (Erste Stufe) fehlte. Trotz der damit verbundenen Risiken erscheint es vorzugswürdig, für die Zukunft den datenschutzrechtlichen Anforderungen zu genügen, als gänzlich auf die Sicherstellung eines Datenschutzniveaus zu verzichten. Empfehlenswert ist in diesem Fall aber, vor Meldung der Klauseln auch die Erste Stufe (Erlaubnisnorm) und die Einhaltung sonstiger datenschutzrechtlicher Anforderungen sicherzustellen (Bestellung von Beauftragten, Erstellung von Verzeichnissen, Mitteilung erforderlicher Informationen gegenüber Betroffenen, Einholung von Einwilligungen). Einer etwaigen Prüfung durch die Aufsichtsbehörde anlässlich der Meldung der Standardvertragsklauseln kann dann gelassener entgegengeblickt werden.

Neben der Meldung der Standardvertragsklauseln müssen in den meisten Mitgliedsstaaten auch Datenverarbeitungen als solche (z.B. Führen einer Kundendatenbank) bei einer nationalen Stelle gemeldet werden. Typischerweise sind die verantwortliche Stelle, die Betroffenen, die Verarbeitungszwecke, Datenempfänger, Sicherheitsmaßnahmen und Transfers in Drittstaaten anzugeben. Grundlage ist Artikel 18 und 19 der EU Datenschutzrichtlinie, wobei die Meldepflicht in Deutschland entfällt, wenn ein betrieblicher Datenschutzbeauftragter bestellt ist, § 4d (2) BDSG. Bei diesen Meldungen muss im Falle von Datenexporten in Drittländer unter Umständen auch eine Kopie der unterzeichneten Standardvertragsklauseln eingereicht werden. Sind die Datenverarbeitungen als solche bisher nicht gemeldet, sollten sie zeitgleich mit der Einreichung der Standardvertragsklauseln erfolgen.

Bei einem internationalen Konzern, der die Datenschutz Compliance seiner Datentransfers bisher nicht voll im Auge hatte, stellen sich damit schon bei der Planung der zeitlichen Abläufe der einzelnen Maßnahmen organisatorische Herausforderungen.

Grundsätzlich ist eine Nutzung der Standardvertragsklauseln in Englisch möglich. Wo Datenschutzbehörden eine Meldung des Vertrages in der Landessprache verlangen, kann auf die verschiedenen Sprach-Fassungen der entsprechenden Kommissionsentscheidung zurückgegriffen werden, in denen sich die Übersetzungen der Klauseln finden.

Beim Ausfüllen der Anhänge zu den Standardvertragsklauseln besteht die Herausforerung darin, die Daten und Verarbeitungszwecke einerseits ausreichend präzise wiederzugeben, andererseits aber auch nicht unnötig viele Details festzulegen, da ansonsten jede kleine Änderung bei der Datenübermittlung eine Anpassung der Verträge zur Folge hätte.

3) Sonderkonstellationen

Neben den "eindeutigen" Fällen von controller-controller und controller-processor Transfers ergeben sich in der Praxis eine Vielzahl von Konstellationen, deren Beurteilung den Parteien oft schwer fällt. So zum Beispiel, wenn eine verantwortliche Stelle im Drittstaat (z.B. die Konzernmutter in den USA), Auftragsdatenverarbeitung durch ihre Tochtergesellschaften in der EU vornimmt; also ein umgekehrtes controller-processor Verhältnis, weil der controller im Drittland und nicht in der EU sitzt. Da die von der Tochter importieren und verarbeiteten Daten anschließend wieder an die Mutter zurück übermittelt werden, stellt sich die Frage, ob bei dieser Rückübermittlung die Anforderungen der Ersten Stufe (Erlaubnisnorm) und der Zweiten Stufe (angemessenes Datenschutzniveau bei der verantwortlichen Stelle im Ausland) erfüllt werden müssen. Die deutschen Aufsichtsbehörden haben hierzu in einem Positionspapier Stellung genommen; verkürzt gesagt, gelten in diesem Fall die Anforderungen der Ersten, nicht aber der Zweiten Stufe: Für den Rücktransfer müssen also im Drittland - aus dem die Daten ursprünglich kommen - keine Maßnahmen zur Sicherstellung des Datenschutzniveaus getroffen werden. In anderen EU-Ländern kann dieselbe Konstellation anders beurteilt werden, was die Handhabung entsprechender internationaler Fallgestaltungen verkompliziert.

Weiteres Hilfsmittel für den Einsatz der Standardvertragsklauseln in Sonderkonstellationen ist die Handreichung des Düsseldorfer Kreises vom 28. März 2007, in der die Aufsichtsbehörden zu bestimmten Fallgruppen der internationalen Auftragsdatenverarbeitung (controller-processor) Stellung nehmen. Leider findet man darin häufig nicht exakt die eigene Situation wieder. Es müssen dann aus den behandelten Fallgruppen allgemeine Grundsätze entwickelt und diese auf den konkreten Sachverhalt angewendet werden. Allerdings ist bei einigen der im Positionspapier behandelten Konstellationen fraglich, ob die von den Behörden vorgenommene Beurteilung heute so noch aufrechterhalten werden kann. Denn die EU-Kommission hat mit der Einführung neuer Standardvertragsklauseln für Auftragsdatenverarbeiter zum 15. Mai 2010 eine Möglichkeit vorgesehen, nach der ein Datenimporteur Subunternehmer in einem Drittland einschalten kann, ohne dass der Datenexporteur mit dem Subunternehmer einen direkten Standardvertrag benötigt. Die Aufsichtsbehörden hatten in diesen Fällen in der Regel einen Direktvertrag zwischen Datenexporteur und Subunternehmer verlangt. Die Handreichung ist deshalb vor dem Hintergrund dieser europäischen Neuentwicklung auszulegen.

Sie haben Fragen zum Datenschutz im Konzern oder suchen externe Unterstützung für Ihr Datenschutz-Team? Kontaktieren Sie mich.

Beratung bei Konzeption und Aufbau einer Datenschutz Compliance Organisation

Beratung und organisatorische Unterstützung bei der Entwicklung einer Datenschutzstrategie, z.B. in Bezug auf den internationalen Datentransfer

Stellungnahme bei Datenschutzfragen (Mitarbeiterdatenschutz, internationale Datentransfers, Kundendatenbanken, ERP Systeme, Webseite)

Entwurf oder Überarbeitung von internen Richtlinien und Musterverträgen

Durchführung von Audits

Prüfung von Auftragsdatenverarbeitungsverträgen

Bestellung als externer Datenschutzbeauftragter

Koordinierung von internationalen Projekten

Facebook Social Plugins und Datenschutzrecht

admin — Thu, 08 Jul 2010 10:03:42 +0000

Von Rechtsanwalt Dr. Thomas Helbing

Der Beitrag erläutert Hintergrund und Funktionsweise der Facebook Social Plugins und erklärt, wie Webseitenbetreiber ihre Nutzer über den Einsatz der Plugins in den Datenschutzhinweisen informieren müssen. Darüber hinaus wird diskutiert, ob die Einbindung von Facebook Social Plugins nach deutschem Datenschutzrecht zulässig ist.

UPDATE 19. August 2011: Das Unabhängige Landeszentrum für Datenschutz (ULD), die Datenschutz-Aufsichtsbehörde für Unternehmen in Schleswig Holstein, hält den Einsatz des Facebook Like-Buttons für rechtswidrig und fordert Seitenbetreiber auf, diesen zu entfernen.

Was sind Facebook Social Plugins?

Schon seit langem können Mitglieder des sozialen Netzwerks Facebook bestimmte Inhalte mit dem "Gefällt mir" (Like) Button bewerten. Mit dem Klick auf das "Daumen hoch" Symbol sympathisieren Nutzer mit Gruppen, Fanseiten oder Statusmeldungen von Freunden. Das entstehende Netz an Beziehungen (Person X gefällt Y und Z) wird als Social Graph bezeichnet. Mithilfe des Social Graphs kann Facebook Nutzerprofile erstellen und auf die Vorlieben des jeweiligen Mitglieds angepasste Werbung einblenden.

Seit Ende April 2010 erlaubt Facebook Webseitenbetreibern auf den eigenen Seiten "Gefällt mir" Buttons und andere Elemente des Facebook Netzwerkes einzubauen. Durch diese so genannten Social Plugins können Facebook User auch auf fremden Seiten zum Beispiel einen Facebook "Gefällt mir" Button anklicken.

Der Betreiber eines Online Musikmagazins kann zum Beispiel auf einer Seite, die eine Newcomer Band portraitiert, einen "Gefällt mir" Button von Facebook einbinden. Ein Nutzer, der sich zuvor auf Facebook eingeloggt hat und dann auf die Seite des Musikmagazins surft, sieht den "Gefällt mir" Button sowie eine Liste seiner Facebook-Freunde, denen die Band ebenfalls gefällt. Klickt er auf den Button, werden die Daten bei Facebook gespeichert und erscheinen auf der Pinnwand des Nutzers und in dessen Facebook-Profil. Facebook-Freunde des Nutzers sehen den Pinnwandeintrag und klicken auf den Bandnamen. Der Link führt sie dann zur entsprechenden Seite mit dem Portrait der Newcomer Band.

Neben dem "Gefällt mir" Button stellt Facebook noch eine Reihe anderer Social Plugins zur Verfügung, zum Beispiel ein Plugin, über das Kommentare abgegeben werden können.

Facebook kann mit den Social Plugins Daten über die Vorlieben seiner Nutzer nicht nur auf der eigenen Webseite, sondern im ganzen Netz sammeln. Die Webseitenbetreiber profitieren von höheren Besucherzahlen, weil die Links auf den Profilseiten von Facebook-Besuchern deren Freunde auf die eigene Seite leiten. Außerdem können Seitenbetreiber ihrem Internetauftritt ohne großen Programmieraufwand einen sozialen Touch verleihen, indem sich die Besucher über die Inhalte austauschen können.

Wie funktionieren Facebook Social Plugins?

Facebook stellt eine Programmbibliothek und Code-Schnipsel zur Verfügung, die der Webseitenbetreiber in den Code seiner eigenen Webseite einbindet. Der Webseitenbetreiber kontrolliert so, ob, welche und wo Social Plugins auf seiner Webseite erscheinen.

Loggt sich ein Nutzer bei Facebook ein, so setzt Facebook einen Cookie (kleine Textdatei) auf dessen Rechner. Wenn der Nutzer anschließend - ohne sich bei Facebook ausgeloggt zu haben - eine Webseite besucht, die Facebook Social Plugins integriert hat, wird über den vom Webseitenbetreiber eingebundenen Code eine Verbindung zwischen dem Browser des Nutzers und Facebook hergestellt. Anhand des dabei übermittelten Cookies, erkennt Facebook, dass der Besucher bei Facebook eingeloggt ist und um wen es sich handelt. Facebook schickt dann an den Nutzer den "Gefällt Mir" Button, der Browser des Nutzers bindet den "Gefällt Mir" Button in die Webseite ein. Wird dieser vom Nutzer angeklickt, wird diese Interaktion direkt an den Facebook-Server übermittelt und dort als Teil des Social Graph gespeichert.

Technisch kommt bei den Facebook Social Plugins ein Inlineframe (iframe) zum Einsatz. Dies hat zur Folge, dass der Facebook Rechner nicht weiß, auf welcher Seite der "Gefällt Mir" Button eingebunden ist. Deshalb muss der Webseitenbetreiber die URL (Internetadresse) seiner Seite, in den Plugin-Code integrieren. Auf diese weise erfährt Facebook, wo der Button eingebunden ist und worauf sich das "Gefällt mir" bezieht. Einzelheiten ermittelt Facebook dann aus Metadaten, die der Webseitenbetreiber für den Nutzer unsichtbar in den Code seiner Webseite integrieren kann. Facebook vertraut dabei auf die Richtigkeit der vom Webseitenbetreiber angegebenen URL, wodurch es leicht zu Manipulationen kommen kann (wer auf einer Seite die Band "The New Stones" den "Gefällt mir" Button klickt, kann nicht sicher sein, dass in seinem Facebook-Profil steht: "Thomas mag 'The New Stones'", genauso gut könnte dort stehen "Thomas mag 'Schmutzige Wäsche'" oder beliebiger anderer Unsinn).

Die Daten des "Gefällt Mir" Buttons (oder eines anderen Social Plugins) werden aufgrund des iframes direkt zwischen Facebook und dem Rechner des Nutzers übermittelt und nicht über den Server des Webseitenbetreibers transportiert. Der Webseitenbetreiber hat den Vorgang durch Einbindung des entsprechenden Codes in seine Seite angestoßen, er weiß aber zum Beispiel nicht, welcher Facebook Nutzer wann seine Seite besucht oder "Gefällt mir" geklickt hat. Die Informationen des Social Graph (Wer mag was) werden ausschließlich und zentral bei Facebook gespeichert.

Was muss in die Datenschutzhinweise?

Die Verwendung von Facebook Social Plugins muss der Webseitenbetreiber in seinen Datenschutzhinweisen erläutern. Dies ergibt sich aus § 13 (1) Telemediengesetz (TMG). Danach hat ein Diensteanbieter (Webseitenbetreiber) den Nutzer über "Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten" sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU/EWR in "allgemein verständlicher Form" zu unterrichten.

Zwar hat der Webseitenbetreiber wegen der Nutzung des iframes keinen Zugriff auf den Datenaustausch zwischen Facebook und dem Nutzer, weiß also nicht, für welche Facebook User der Button angezeigt wurde und wer auf den Button geklickt hat, jedoch öffnet er durch den Einbau des Social Plugins in seine Webseite Facebook die Tür, die entsprechenden Daten seiner Seitenbesucher zu erheben und zu verarbeiten. Außerdem "verrät" er über den Einbau des Codes auf seiner Webseite Facebook, wer wann welche Webseite besucht hat.

Kaum ein Nutzer dürfte erwarten, dass sein Browser eine Anfrage an Facebook sendet, wenn er eine beliebige Webseite aufruft, die einen kleinen "Gefällt mir" Button von Facebook enthält (wovon er zuvor meist auch gar nichts weiß). Erst recht erwartet er nicht, dass Facebook erfährt, wann und welche Seite er besucht hat, unabhängig davon ob er mit dem Social Plugin interagiert oder es gänzlich ignoriert. Zur Erinnerung: Auch ohne Betätigung des "Gefällt mir" Buttons kann Facebook den Nutzer schon bei Auslieferung, also Anzeige, des Buttons identifizieren. Auf diese Weise erhält Facebook nicht nur einen Social Graph, mit dem Wissen wem was gefällt, sondern auch Informationen darüber, wer welche Seiten im Netz besucht hat. Je mehr Seiten die Social Plugins nutzen, desto umfassender kann Facebook das Surfverhalten seiner User erfassen.

Auf diese Umstände muss der Webseitenbetreiber seine Nutzer in den Datenschutzhinweisen der Webseite in verständlicher Form hinweisen, zum Beispiel:

"Verwendung von Facebook Social Plugins

Unser Internetauftritt verwendet Social Plugins ("Plugins") des sozialen Netzwerkes facebook.com, welches von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA betrieben wird ("Facebook"). Die Plugins sind mit einem Facebook Logo oder dem Zusatz "Facebook Social Plugin" gekennzeichnet.

Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die ein solches Plugin enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden.

Durch die Einbindung der Plugins erhält Facebook die Information, dass Sie die entsprechende Seite unseres Internetauftritts aufgerufen haben. Sind Sie bei Facebook eingeloggt kann Facebook den Besuch Ihrem Facebook-Konto zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den "Gefällt mir" Button betätigen oder einen Kommentar abgeben, wird die entsprechende Information von Ihrem Browser direkt an Facebook übermittelt und dort gespeichert.

Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatssphäre entnehmen Sie bitte den Datenschutzhinweisen von Facebook.

Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen."

Hinweis: Der Text ist kein Muster, sondern ein Beispiel und bietet deshalb keine Gewähr für Vollständigkeit, Richtigkeit und Aktualität. Datenschutzhinweise müssen für den jeweiligen Internetauftritt individuell erstellt werden.

Der Verweis auf die Datenschutzhinweise von Facebook erscheint sinnvoll, auch wenn sich dort keine nützlichen Informationen zu den Plugins finden. Welche Daten Facebook erhält und wie lange es diese speichert, wird nicht erläutert.

Soweit ersichtlich, genügt bisher noch kaum ein Webseitenbetreiber in Deutschland, der Facebook Social Plugins verwendet (z.B. bild.de oder focus.de) der diesbezüglichen Hinweispflicht des Telemediengesetzes.

Ein Verstoß gegen die Hinweispflicht des § 13 (1) TMG ist gemäß § 16 (2) Nr. 2 TMG eine Ordnungswidrigkeit und kann nach § 16 (3) TMG mit einem Bußgeld von bis zu € 50.000 geahndet werden. Da sich deutsche Datenschutzbehörden schwer tun US-Unternehmen wegen Datenschutzverstößen zu belangen, treten Sie gerne - wie im Fall Google Analytics - an die hier ansässigen Webseitenbetreiber heran. Dies wäre auch bei den Facebook Plugins denkbar.

Eine Abmahnung durch Wettbewerber dürfte dagegen wenig Aussicht auf Erfolg haben, da Gerichte zur Vorgängerregelung des § 13 TMG, dem außer Kraft getretenen § 4 Teledienstedatenschutzgesetz (TDDSG), entschieden haben, dass es sich um eine Vorschrift handelt, deren Verstoß nicht wettbewerbswidrig ist.

Update 29. März 2011 / 8. Mai 2011: Die fehlende Abmahnfähigkeit eines unterbliebenen Datenschutzhinweises zum Facebook Like Button haben auch das Land- und Kammergericht Berlin angenommen Landgericht Berlin, Beschluss vom 14. März 2011, Az.: 91 O 25/11 sowie KG Berlin, Beschluss vom 29.04.2011 - 5 W 88/11 )

Ist die Einbindung von Facebook Social Plugins zulässig nach Datenschutzrecht?

Durch die Einbindung des Codes für das Facebook Social Plugin in die eigene Webseite ermöglicht der Webseitenbetreiber Facebook zu erfahren, wann ein Facebook Mitglied seine Webseite besucht. Zudem erhält Facebook Daten über die Interaktion mit dem Plugin. Hierin könnte die Übermittlung von personenbezogenen Daten durch den Webseitenbetreiber an Facebook im Sinne des § 3 Abs. 4 Nr. 3 Bundesdatenschutzgesetz (BDSG) liegen. Diese Übermittlung wäre dann nur zulässig, wenn hierfür eine Erlaubnisnorm existiert oder der Nutzer eingewilligt hat, § 4 Abs. 1 BDSG. Ohne Einwilligung oder Erlaubnisnorm ist eine Übermittlung rechtswidrig und stellt eine Ordnungswidrigkeit gemäß § 43 (2) Nr. 1 BDSG dar (bußgeldbewehrt bis 300.000 € gemäß § 43 (3) BDSG).

Die Information, dass ein Facebook-Mitglied eine bestimmte Webseite im Netz aufgerufen, einen Kommentar abgegeben oder den "Gefällt mir" Button geklickt hat, ist für Facebook zweifelsohne ein personenbezogenes Datum im Sinne des § 3 (1) BDSG, zumal die meisten Nutzer sich - wie es Ziffer 4 der Facebook Nutzungsbedingungen fordern - mit ihrem wahren Namen registriert haben.

Man kann nun argumentieren, es fehle an einer Übermittlung, weil für den Webseitenbetreiber kein personenbezogenes Datum vorliegt, da er den Seitenbesucher nicht mit einem Facebook-Konto und damit einer natürlichen Person in Verbindung bringen kann (Relativität des Personenbezugs). Folgt man dem, wäre der Webseitenbetreiber nur Hilfsperson von Facebook bei der Datenerhebung durch Facebook. Der „Charme“ dieser Argumentation ist, dass man keine Rechtsgrundlage für eine Datenübermittlung an Facebook benötigt.

Erhebt eine Stelle für eine andere personenbezogene Daten so kann dies ein Fall einer Auftragsdatenverarbeitung sein (§ 11 BDSG). Diese passt allerdings auf die vorliegende Konstellation in mehrerlei Hinsicht nicht, der Webseitenbetreiber ist insbesondere gegenüber Facebook nicht weisungsgebunden. Außerdem hat Facebook Inc. seinen Sitz außerhalb der EU und des Europäischen Wirtschaftsraumes (EWR), womit eine unmittelbare Anwendung des § 11 BDSG ausscheidet.

Folgt man der obigen Argumentation nicht und geht entsprechend von einer Übermittlung personenbezogener Daten aus (man könnte sagen, aufgrund der dem Webseitenbetreiber bekannten IP Adresse handelt es sich auch für ihn um ein personenbezogenes Datum), so muss man sich auf die Suche nach einer Rechtsgrundlage begeben.

Eine Einwilligung scheidet aus Gründen der Praktikabilität aus. Sie müsste den Anforderungen des § 13 Abs. 2 TMG genügen, insbesondere bewusst und eindeutig erfolgen (Ankreuz-Box). Eine solche Einwilligung kann nur im Rahmen einer Registrierung auf der Webseite erfolgen, der Charme der Social Plugins liegt aber gerade darin, dass die Nutzer nur bei Facebook registriert und angemeldet sein müssen und nicht auch auf der einzelnen Webseite, die das Plugin integriert.

Damit muss man sich auf die Suche nach einer anderen Erlaubnisnorm machen. Bei der Information über den Besuch einer Webseite und der Interaktion mit Social Plugins handelt es sich um so genannte Nutzungsdaten. Gemäß § 15 Abs. 1 TMG darf der Webseitenbetreiber solche Daten eines Nutzers nur "erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen". Andere Erlaubnisvorschriften aus dem BDSG scheiden aus, da das TMG in Bezug auf Nutzungsdaten eine Sonderregelung ist. Wenn sich der Webseitenbetreiber entscheidet, seinen Nutzern Facebook Social Plugins anzubieten, dann ist dies Teil des angebotenen Dienstes. Eine Übermittlung der Daten an Facebook ist dann zur Erbringung dieses Dienstes zwingend erforderlich. Die Datenübermittlung ist deshalb nach meiner Auffassung gerechtfertigt. Dem kann auch nicht entgegengehalten werden, der Webseitenbetreiber könne auf die Plugins verzichten. Es steht nämlich im freien Ermessen des Webseitenbetreibers welche Dienste er den Nutzern auf seiner Webseite anbietet. Wichtig ist dabei, dass die Social Plugins in den Nutzungsbedingungen oder Datenschutzhinweisen erwähnt werden, damit sich die Datenübermittlung als erforderlich begründen lässt.

Da Facebook seinen Sitz in den USA hat, ist eine Übermittlung grundsätzlich nur zulässig wenn außerdem ein "angemessenes Datenschutzniveau" bei Facebook sichergestellt ist, § 4b BDSG ("Zweite Stufe" der datenschutzrechtlichen Prüfung). Dies gilt nur dann nicht, wenn eine Ausnahme nach § 4c BDSG vorliegt. In Betracht kommt § 4c (1) Nr. 1 BDSG wonach bei einer Einwilligung des Nutzers kein ausreichendes Datenschutzniveau beim Empfänger sichergestellt werden muss. In den Facebook-Datenschutzhinweisen heißt es unter Ziffer 9:

"Zustimmung zur Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika. Durch die Verwendung von Facebook stimmst du der Übertragung und Verarbeitung deiner persönlichen Daten in die bzw. in den USA zu."

Ob diese "Einwilligung" ausreicht ist zweifelhaft: Erstens wurde sie von Facebook eingeholt und nicht vom Webseitenbetreiber, zweitens ist unklar ob der Facebook-Mitglied den Datenschutzhinweisen wirksam im Sinne des TMG zugestimmt hat. Die Einholung einer Einwilligung durch den Webseitenbetreiber scheitert wiederum, weil sich der Nutzer bei diesem nicht registriert haben muss, um die Social Plugins zu nutzen.

Facebook nimmt allerdings an dem Safe-Harbor Programm teil, das die EU mit dem US Handelsministerium vereinbart hat. Gemäß der Safe Harbor Entscheidung der EU Kommission ist damit ein angemessenes Datenschutzniveau sichergestellt. Deutsche Datenschutzbehörden sehen Safe Harbor dagegen kritisch. Sie verlangen von Unternehmen, die Daten an Safe Harbor Unternehmen übermitteln, dass sie sich nicht auf deren Zusicherung verlassen, an dem Safe Harbor Programm teilzunehmen, sondern sich die Einhaltung der Safe Harbor Prinzipien nachweisen lassen und hierfür eine gewisse Mindestprüfung vornehmen. Zu den Einzelheiten verweise ich auf meinen gesonderten Beitrag.

Die Ausführungen zeigen, dass der Einsatz der Social Plugins neben einer Erläuterung in den Datenschutzhinweisen noch eine Reihe weiterer Rechtsfragen aufwirft. Nach hier vertretener Auffassung liegt wohl bereits keine Datenübermittlung vor, jedenfalls aber ist diese von einer Erlaubnisnorm gedeckt und die Einbindung der Social Plugins deshalb rechtmäßig möglich.

Sie haben Fragen, Kommentare oder Anregungen? Dann kontaktieren Sie mich oder nutzen Sie das Kommentarformular unten.

Dienstleistungen im Zusammenhang mit Online-Datenschutz

Erstellung oder Überprüfung von Datenschutzhinweisen und Einwilligungserklärungen

Datenschutz-Audits von Webseiten

Datenschutzrechtliche Prüfung von Geschäftsmodellen

Vertragsgestaltung (Nutzungsbedingungen, AGB, Auftragsdatenverarbeitungsverträge, Hosting, Programmierung, etc.)

Datenschutz im Konzern: Internationale Datentransfers (Teil 2)

admin — Wed, 30 Jun 2010 08:15:51 +0000

Von Rechtsanwalt Dr. Thomas Helbing

Dies ist der zweite Teil des Beitrages "Datenschutz im Konzern: Internationale Datentransfers". Im Ersten Teil habe ich einen Überblick über die Thematik gegeben, insbesondere die zweitstufige Prüfung, und eine Vorgehensweise zur Feststellung und Analyse von Datentransfers im Konzern beschrieben.

Im vorliegenden zweiten Teil werden die verschiedenen Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus kurz vorgestellt. Dabei geht es um die EU Standardvertragsklauseln, das Safe Harbor Programm und Binding Corporate Rules. Schwerpunkt bildet die anschließend Darstellung der Vor- und Nachteile der einzelnen Instrumente, die Unternehmen bei der Auswahl des für sie "richtigen" Ansatzes helfen soll.

Im dritten Teil geht es um die konkrete Umsetzung der Standardvertragsklauseln in der Praxis.

Wenn Sie Fragen oder Anregungen haben, kontaktieren Sie mich oder nutzen Sie das Kommentarfeld am Ende des Beitrages.

1) Schritt 2: Auswahl der Instrumente

Nachdem ein Überblick über Daten und Datenströme gewonnen wurde, muss eine Strategie entwickelt werden, wie konzernweit ein einheitliches Datenschutzniveau im Sinne der Zweiten Stufe sichergestellt werden kann.

Bitte beachten Sie, dass es in diesem Beitrag nur um diese Zweite Stufe geht. Relevant sind damit nur Transfers von der EU in Drittländer, die kein angemessenes Datenschutzniveau haben, z.B. die USA, Australien, Japan, China, Indien oder andere asiatische Länder. Insbesondere EU- interne Transfers sind nicht zu berücksichtigen, da EU-weit ein angemessenes Datenschutzniveau herrscht.

a) Ausnahmen vom Erfordernis eines angemessenen Datenschutzniveaus

Daneben ist zu berücksichtigen, dass es Ausnahmen von der Anforderung gibt, wonach personenbezogene Daten nur in Länder mit angemessenem Datenschutzniveau übermittelt werden dürfen. Soweit eine solche Ausnahme vorliegt, müssen keine besonderen Maßnahmen zur Sicherstellung des Datenschutzniveaus getroffen werden.

Die Grundlage für die Ausnahmen bildet Artikel 26 der Datenschutzrichtlinie, welcher in Deutschland durch § 4c BDSG in nationales Recht umgesetzt wurde. Von den sechs Fallgruppen, die grundsätzlich eng ausgelegt werden, sind im Unternehmensbereich zwei besonders interessant:

die Übermittlung ist für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich, oder
der Betroffene hat seine Einwilligung gegeben.

Ein Fall der Nummer 1 liegt zum Beispiel vor, wenn ein bei der US-Muttergesellschaft angestellter Mitarbeiter zur deutschen Tochtergesellschaften entsandt wurde und aus steuerlichen Gründen oder zur Durchführung des Arbeitsvertrages Daten in die USA übermittelt werden müssen.

Bei einer Einwilligung (Nummer 2 oben) wird teilweise verlangt, dass der Einwilligende ausdrücklich in die Übermittlung gerade in ein unsicheres Drittland einwilligt, z.B.:

"[ ] Ja, ich willige darin ein, dass meine Daten [näher konkretisieren] von der X-AG [Name und Adresse der verantwortlichen Stelle] zu Zwecken des [Zweck beschrieben] an die Y-AG [Name und Adresse des Empfängers] in die USA übermittelt werden. Mir ist bekannt, dass in den USA ein niedrigeres Datenschutzniveau besteht als in Ländern der Europäischen Union."

Muss für einen Datentransfer in ein Drittland im Rahmen der Ersten Stufe (Erlaubnisnorm) eine Einwilligung eingeholt werden, so kann gegebenenfalls auch gleich die Zweite Stufe abgehandelt werden, indem mit einer entsprechenden Einwilligungserklärung ein Ausnahmetatbestand geschaffen wird. Dieses Beispiel verdeutlicht, dass Erste und Zweite Stufe nicht isoliert betrachtet werden dürfen.

Der Vollständigkeit halber sei noch darauf hingewiesen, dass die Einwilligung nicht die Königslösung ist, denn Einwilligungen können verweigert und jederzeit widerrufen werden. Zudem bestehen gerade im Arbeitsverhältnis erhebliche Bedenken in Bezug auf die Freiwilligkeit und damit Rechtmäßigkeit von Einwilligungen.

b) Vorstellung der einzelnen Instrumente

Zur Sicherstellung eines angemessenen Datenschutzniveaus stehen die bereits erwähnten drei Instrumentarien zur Verfügung:

Standardvertragsklauseln: Abschluss von Verträgen zwischen Datenexporteur und -importeur mit bestimmten EU-Standardklauseln.
Binding Corporate Rules (BCR): Rechtlich verbindliche Implementierung von Unternehmensregelungen (Privacy Policy) zum Umgang mit personenbezogenen Daten im Konzern.
Safe Harbor: Unterwerfung unter die Safe Harbor Prinzipien für Unternehmen in den USA.

Die Instrumente werden im folgenden kurz vorgestellt und sodann die Vor- und Nachteile aufgezeigt. Die konkrete Umsetzung wird im nächsten Teil des Beitrags erläutert.

i. Standardvertragsklauseln

Schließen das exportierende Konzernunternehmen in der EU und das importierende außerhalb der EU/EWR einen Vertrag mit den Standardvertragsklauseln der EU-Kommission, so ist damit automatisch ein angemessenes Datenschutzniveau beim Importeur sichergestellt. Bei den Standardvertragsklauseln sind zwei Gruppen zu unterscheiden: Die Klauseln für die Übermittlung von Daten an Auftragsdatenverarbeiter (controller-processor Verhältnisse) und an verantwortliche Stellen (controller-controller Verhältnisse).

Welche Standardklauseln zu verwenden sind, hängt von der Rolle des Datenimporteurs ab. Verarbeitet er die Daten nur im Auftrag und nach den Weisungen des Datenexporteurs liegt eine Auftragsdatenverarbeitung (controller-processor Verhältnis) vor. Ist das empfangende Konzernunternehmen ebenfalls verantwortliche Stelle ist eines der Sets für controller-controller Verhältnisse zu verwenden. Welche Rolle der Datenempfänger einnimmt, wurde im Rahmen der Analyse der Datentransfers festgestellt.

Die Standardvertragsklauseln werden als gesonderte Vereinbarung unterzeichnet, allerdings können begleitend Verträge geschlossen werden, die die kommerziellen Bedingungen regeln, z.B. ein Servicevertrag mit konzerninternen Verrechnungspreisen.

Die Standardvertragsklauseln regeln Rechte und Pflichten der Parteien beim Umgang mit personenbezogenen Daten und müssen unverändert übernommen werden. Im Anhang zu den Klauseln befinden sich Formulare, in denen Einzelheiten zu den Parteien, den exportierten Daten, der Datenverwendung und ggf. Sicherheitsvorkehrungen beim Importeur einzutragen sind.

ii. Binding Corporate Rules

Ein ausreichendes Datenschutzniveau stellen auch so genannte Binding Corporate Rules (verbindliche Unternehmensrichtlinien) sicher. Dabei legt sich eine Gruppe von Unternehmen rechtsverbindlich Regeln in Bezug auf den Umgang mit personenbezogenen Daten auf (Privacy Policy). Dadurch kann bei allen Unternehmen der Gruppe ein angemessenes Datenschutzniveau sichergestellt werden. Mit Binding Corporate Rules lässt sich entsprechend für alle Datentransfers innerhalb einer Unternehmensgruppe ein angemessenes Datenschutzniveau sicherstellen (nicht aber Übermittlungen an gruppenfremde Unternehmen). Man spricht in Anlehnung an Safe Harbor auch von einem "Safe Haven".

iii. Safe Harbor

Für Datenimporteure in den USA besteht die Möglichkeit, sich nach den Safe Harbor Grundsätzen selbst zu zertifizieren. Unternehmen, die sich diesen Grundsätzen unterwerfen, haben hierdurch ein ausreichendes Datenschutzniveau sichergestellt.

Die Safe Harbor Grundsätze sind recht allgemein gehaltene Grundsätze, die beim Umgang mit personenbezogenen Daten zu beachten sind: So sieht das "Notice Principle" vor, dass das Unternehmen Betroffene über erhobene Daten und Verarbeitungszwecke zu unterrichten hat. Das "Choice Principle" gibt Betroffenen in bestimmten Fällen das Recht, der Datenverarbeitung zu widersprechen und im "Onward Transfer Principle" ist festgelegt, unter welchen Voraussetzungen Daten an Dritte weitergereicht werden dürfen. Die Safe Harbor Grundsätze sind in einer Fragen und Antworten Liste (FAQ) sowie verschiedenen weiteren Dokumenten konkretisiert.

Die Einhaltung der Safe Harbor Grundsätze wird nicht von einer externen Stelle geprüft, sondern das Unternehmen nimmt eine Selbstzertifizierung vor und schickt eine entsprechende Erklärung an das US Handelsministerium. Diese muss jährlich erneuert werden. Das Unternehmen muss zusätzlich seine Verpflichtung zur Einhaltung der Safe Harbor Grundsätze öffentlich machen, zum Beispiel in einer Datenschutzerklärung, die online abrufbar ist.

c) Vor- und Nachteile der einzelnen Instrumente

i. Standardvertragsklauseln

Der Vorteil der Standardvertragsklauseln ist ihre vergleichsweise leichte Umsetzbarkeit. Dies gilt vor allem, wenn Daten sternförmig zu einer einzigen Gesellschaft in einem Drittland übermittelt werden. Die Standardvertragsklauseln dürfen nicht modifiziert werden, es sind "nur" bestimmte Angaben zu Datenexporteur und -importeur und den Datenverarbeitungen sowie den technischen und organisatorischen Schutzmaßnahmen in den Anhängen auszufüllen.

Einige Länder in der EU verlangen zusätzliche formale Anforderungen (z.B. die Niederlande) wie eine Meldung der Klauselverwendung gegenüber der nationalen Datenschutzbehörde; teilweise bedarf es sogar einer notariellen Beurkundung oder vorherigen behördlichen Zustimmung. Durch diese nationalen Besonderheiten entsteht ein nicht zu unterschätzender organisatorischer Aufwand.

Weiterer Nachteil der Standardvertragsklauseln ist, dass sie teilweise eine gesamtschuldnerische Haftung der Parteien für Schadenersatzansprüche von Betroffenen bei Vertragsverletzungen vorsehen: Das heißt, Betroffene, deren Daten unzulässig verarbeitet oder genutzt wurden, können wahlweise jede Vertragspartei in Anspruch nehmen, unabhängig davon, wer die Vertragsverletzung begangen und den Schaden verursacht hat. Außerdem unterwirft sich das Konzernunternehmen im Ausland dem Recht und der Datenschutzbehörde des Landes in dem das Daten-exportierende Unternehmen seinen Sitz hat, was gerade bei Unternehmen mit Konzernsitz außerhalb der EU für Unbehagen sorgen kann. Das ausländische Konzernunternehmen kann so Gegenstand von Untersuchungen einer EU Datenschutzbehörde werden und Betroffene in der EU (Kunden oder Mitarbeiter) können zivilrechtliche Ansprüche in der EU auch gegen das Konzernunternehmen in Drittstaaten geltend machen.

Schwierig kann die Anwendung von Standardvertragsklauseln werden, wenn eine größere Zahl von Konzernunternehmen in der EU und in Drittstaaten an den Datentransfers beteiligt sind, weil dann die Zahl der zu schließenden Verträge erheblich steigt. Dies gilt insbesondere wenn Daten nicht sternförmig zu einer oder wenigen Gesellschaften fließen, sondern von vielen an viele Gesellschaften übermittelt werden, da dann jeder Datensender in der EU mit jedem Datenempfänger in einem Drittstaat einen Vertrag schließen muss (zu möglichen Vereinfachungen, siehe dritter Teil). Die Handhabung der vertraglichen Lösung verkompliziert sich weiter, wenn sich Datenströme ändern, zum Beispiel weil neue IT-Systeme oder Software zum Einsatz kommt. Auch Änderungen in der Gesellschaftsstruktur des Konzerns, zum Beispiel in Form von Zu- oder Verkäufen von Konzernunternehmen, zieht bei Standardvertragsklauseln einen beträchtlichen Verwaltungsaufwand mit sich: das neue Unternehmen muss in das Netz aus Verträgen integriert werden bzw. Verträge mit dem ausscheidenden Unternehmen müssen gekündigt werden.

ii. Binding Corporate Rules

Hier zeigen sich bereits die Vorteile von Binding Corporate Rules: die verbindlichen Unternehmensregelungen sind flexibler als Standardvertragsklauseln. Zwar müssen BCR einer ganze Reihe inhaltlicher Anforderungen genügen, sie bieten aber noch Raum, um individuellen Bedürfnissen des Konzerns Rechnung zu tragen. Dies gilt zum Beispiel wenn ein Konzern seine Produkte oder Dienstleistungen über unabhängige Intermediäre (Handelsvertreter, Multi-Level-Marketing, Makler) vertreibt und deshalb bei der Struktur und Zuordnung von Kundendaten Besonderheiten aufweist.

Vorallem aber können BCR dazu beitragen, das Datenschutzniveau im Konzern weltweit zu vereinheitlichen und insgesamt zu verbessern, eine Datenschutz Organisation aufzubauen und die Datenschutz Compliance sicherzustellen. So müssen in BCR zum Beispiel ein Verfahren für Audits (Prüfungen) und den Umgang mit Beschwerden von Betroffenen festgelegt sein. Ein entscheidender Punkt ist also: BCR dienen nicht nur dazu, ein angemessenes Datenschutzniveau konzernweit sicherzustellen (Erste Stufe), sondern helfen auch, einen einheitlichen und hohen Standard beim Umgang mit personenbezogenen Daten zu gewährleisten und nationale Datenschutzvorschriften einzuhalten (Erste Stufe).

BCR sind ein proaktives Mittel und ganzheitlicher Ansatz für den Datenschutz und demonstrieren nach außen gegenüber der Öffentlichkeit und Datenschutzbehörden, dass es dem Konzern Ernst ist mit dem Schutz personenbezogener Daten. BCR helfen Bewusstsein für Datenschutz im Konzern zu schaffen (Awareness) und stellen einen Standard auf, der durch Audits geprüft werden kann.

Dabei darf aber nicht verkannt werden, dass mit den BCR nur ein Mindestlevel zum Datenschutz gesetzt wird. Sofern das nationale Datenschutzrecht eines EU-Landes strengere Anforderungen stellt, als sie in den BCR des Unternehmens niedergelegt sind, findet das strengere nationale Recht Anwendung. Eine Vereinheitlichung der materiellen Anforderungen an die Datenverarbeitung (Erste Stufe) wird nicht erzielt, oder anders ausgedrückt: die unterschiedlichen Anforderungen und Auslegungen der Datenschutzgesetze in den einzelnen EU Ländern lassen sich mit BCR nicht beseitigen. BCR stellen vielmehr ein Instrument dar, die nationalen Datenschutzgesetze konzernweit zu beachten (Datenschutz Compliance).

Daneben haben BCR auch einige Nachteile: Der Entwurf der verbindlichen Datenschutzregelungen muss konzernintern abgestimmt werden und recht umfangreichen und detaillierten Vorgaben der EU-Kommission genügen. Dazu gehört, dass ein Konzernunternehmen der EU für Datenschutzverstöße von Konzernunternehmen außerhalb der EU einstehen muss. Dies kann eine Verantwortlichkeit für Konzernteile in Drittländern zur Folge haben, die möglicherweise stärker ist, als die Haftung für eigene Datenschutzverstöße nach nationalem Recht.

Des Weiteren müssen die Unternehmensrichtlinien rechtlich verbindlich umgesetzt werden, wofür häufig wiederum Verträge nötig sind, die zwischen der Konzernmutter und allen Konzernunternehmen geschlossen werden, da nicht alle Rechtsordnungen einseitige Verpflichtungserklärungen kennen. Auch BCR müssen - wie die EU-Standardvertragsklauseln - Betroffenen unmittelbar Rechte einräumen (drittbegünstigend).

Außerdem ist grundsätzlich die Zustimmung der Datenschutzbehörden aller EU-Länder nötig, in denen Konzernunternehmen ihren Sitz haben. Zwar sind es hier Erleichterungen eingetreten: Zum einen wird die Abstimmung der Datenschutzbehörden bei der Behörde eines Landes (Lead Data Protection Authority) gebündelt. Zum anderen gibt es unter einigen Ländern (eine gegenseitige Anerkennung (mutual recognition system), bei der Datenschutzbehörden einzelner Länder die Zustimmung der Lead DPA zu den BCR akzeptieren. Gegenwärtig sind hieran 17 Mitgliedstaaten beteiligt, darunter, Frankreich, Deutschland, Italien, Spanien, UK und die Niederlande. Allerdings sind BCR immer noch ein vergleichsweise kompliziertes Instrument, dessen Umsetzung durchaus ein bis zwei Jahre in Anspruch nehmen und erhebliche Kosten verursachen kann. BCR sind deshalb häufig ein mittelfristiges Ziel in größeren Konzernen, während zur kurzfristigen Sicherstellung eines angemessenen Datenschutzniveaus die EU-Standardvertragsklauseln herangezogen werden. Ich weiß zudem von mehr als einem Konzern, der BCR erfolgreich eingeführt hat, aber flankierend immer noch Standardvertragsklauseln einsetzt, weil Datenschutzbehörden einzelner EU-Länder noch keine Zustimmung erteilt haben oder einzelne Konzerngesellschaften sich weigern, an den BCR teilzunehmen.

iii. Safe Harbor

Bei Safe Harbor müssen weder spezifische Verträge geschlossen werden, noch ist die Zustimmung von Aufsichtsbehörden einzuholen. Da es sich bei Safe Harbor um eine Selbstzertifizierung handelt und die zu beachtenden Grundsätze recht allgemein gehalten sind, ist die Einführung vergleichsweise schnell und einfach möglich.

Dafür steht das Instrument nur bei Datentransfers in die USA zur Verfügung. Es eignet sich daher in erster Linie für Datentransfers von europäischen Tochtergesellschaften zur US-amerikanischen Mutter. Unternehmen, die in den USA nicht der Aufsicht der Federal Trade Commission (FTC) oder des Department of Transportation unterliegen, sind vom Safe Harbor Programm ausgeschlossen. Für Banken, Versicherungen und Telekommunikationsanbieter scheidet Safe Harbor damit meist aus.

Werden Daten neben den USA auch in sonstige Drittländer exportiert, müssen andere Instrumente gewählt werden, es ist dann kein konzernweit einheitlicher Ansatz zur Sicherstellung des Datenschutzniveaus auf Zweiter Stufe mehr möglich.

Ein an Safe Harbor teilnehmendes US-Unternehmen unterliegt der Aufsicht der Federal Trade Commission (FTC), was von Konzernen mit EU-Wurzeln oft als Nachteil empfunden wird. Zudem entsteht ein fortlaufender Verwaltungsaufwand, weil das US-Unternehmen jährlich eine neue Selbst-Zertifizierung bei der FTC einreichen oder die bestehende Zertifizierung bestätigen muss.

Hinzu kommt, dass deutsche Aufsichtsbehörden Safe Harbor kritisch beäugen (Einzelheiten dazu im dritten Teil). Hintergrund ist eine Studie der US-Beratungsfirma galexia, die Defizite bei der tatsächlichen Umsetzung der Safe Harbor Grundsätze festgestellt haben will. Die Datenschutzaufsichtsbehörden der Bundesländer verlangen daher von Unternehmen, die Daten an Safe Harbor Unternehmen übermitteln, dass sie sich nicht auf deren Zusicherung verlassen, an dem Safe Harbor Programm teilzunehmen, sondern sich die Einhaltung der Safe Harbor Prinzipien nachweisen lassen. Im Rahmen von konzerninternen Datentransfers dürfte dem aber vergleichsweise leicht nachzukommen sein.

Im Vergleich zu den Standardvertragsklausen für Auftragsdatenverarbeiter hat Safe Harbor den Vorteil, dass die Einschaltung von Subunternehmen leichter möglich ist und das Vertragsverhältnis zwischen dem Safe Harbor Unternehmen und dem Unterauftragsdatenverarbeiter freier gestaltet werden kann: während nach Klausel 11 der neuen EU Standardvertragsklauseln für controller-processor Transfers umfassende Vorgaben bei der Unterauftragsvergabe zu beachten sind, ist das "onward transfer" Principle der Safe Harbor Grundsätze meist einfacher umzusetzen.

iv. Zusammenfassung

Jedes der Instrumente hat seine spezifischen Vor- und Nachteile, die Wahl des "richtigen" Instruments hängt von den betroffenen Daten, den Datenflüssen, der Konzernstruktur und letztlich dem Stellenwert ab, den der Datenschutz im Unternehmen hat. Im Einzelfall kann es auch sinnvoll sein, für verschiedene Daten, Datenströme oder Unternehmensteile unterschiedliche Instrumente zu nutzen.

Die folgende Tabelle fasst die genannten Vor- und Nachteile zusammen:

Standardvertragsklauseln	Binding Corporate Rules	Safe Harbor
Beschreibung
Verträge mit vorgegebenen Klauseln der EU-Kommission	Verbindliche unternehmensinterne Richtlinien zum Umgang mit personenbezogenen Daten.	Beachtung bestimmter Safe Harbor Prinzipien durch US Unternehmen mit Selbst-Zertifizierung.
Umsetzungsaufwand
(+) Schnell und leicht umsetzbar, da Standardklauseln, bei denen Anhänge ausgefüllt werden. (-) Erheblicher Verwaltungsaufwand durch unterschiedliche Melde- und Genehmigungspflichten in den EU-Mitgliedsstaaten (-) Zunehmend Unübersichtlich bei Vielzahl von Konzerngesellschaften, Netzartigen Datentransfers (Übermittlung von vielen Unternehmen an viele Unternehmen) und sich ändernden Datentransfers und Änderungen in der Konzernstruktur	(-) Hoher Umsetzungsaufwand wegen umfassender inhaltlicher Vorgaben (-) Aufwändiges und langwieriges Verfahren zur Einholung der Zustimmung aller Aufsichtsbehörden, jedoch zuletzt Erleichterung durch gegenseitige Anerkennung.	(+) Schnell und leicht einführbar, da Selbstzertifizierung und vergleichsweise allgemeine Grundsätze
Individualisierbarkeit
(-) Keine/kaum Anpassung an die konzernspezifischen Gegebenheiten möglich	(+) Individuelle Anpassung an die Besonderheiten des Konzerns möglich (+) Fördert Bewusstsein für Datenschutz im Unternehmen	(-) Keine Anpassung an die konzernspezifischen Gegebenheiten möglich (+) Einschaltung von Subunternehmern vergleichsweise leicht möglich
Haftung
(-) gesamtschuldnerische Haftung des exportierenden und importierenden Konzernunternehmens (-) Konzernunternehmen in Drittstaaten unterwerfen sich EU-Recht/-Aufsicht	(-) Einstehen eines EU-Konzernunternehmens für Datenschutzverstöße von Konzernunternehmen außerhalb der EU
Besonderheiten
	(+) Gut geeignet, um Datenschutzniveau konzernweit zu vereinheitlichen und anzuheben und Datenschutz-Organisation und -Compliance herzustellen. (+) Demonstriert nach außen hin einen hohen Stellenwert des Datenschutzes im Konzern	(-) Aufsicht der FTC (-) Nur für Transfers in die USA möglich, soweit Empfänger Aufsicht der FTC unterliegt (-) Skepsis bei deutschen Aufsichtsbehörden
Typische Anwendung
Kurzfristige Umsetzung von einfachen (z.B. sternförmigen) und statischen (sich nicht ändernde) Datenflüssen.	Mittel- und langfristige Umsetzung einer umfassenden Strategie zur Sicherstellung des Datenschutzniveaus, Implementierung einer Datenschutzorganisation und Sicherstellung der Datenschutz Compliance in großen Konzernen.	US-Unternehmen, die Tochtergesellschaften in der EU/EWR Daten erhalten (sternförmiger Datenfluss)

Lesen Sie jetzt im Dritten Teil, wie die EU Standardvertragsklauseln in der Praxis anzuwenden sind, welches Klausel-Set das richtige ist und welche Besonderheiten im internationalen Konzern zu beachten sind.

Sie haben Fragen zum Datenschutz im Konzern oder suchen externe Unterstützung für Ihr Datenschutz-Team? Kontaktieren Sie mich.

Beratung bei Konzeption und Aufbau einer Datenschutz Compliance Organisation
Beratung und organisatorische Unterstützung bei der Entwicklung einer Datenschutzstrategie, z.B. in Bezug auf den internationalen Datentransfer
Stellungnahme und Gutachten zu Datenschutzfragen (Mitarbeiterdatenschutz, internationale Datentransfers, Kundendatenbanken, ERP Systeme, Webseite)
Entwurf oder Überarbeitung von internen Richtlinien und Musterverträgen
Durchführung von Audits
Prüfung von Auftragsdatenverarbeitungsverträgen
Bestellung als externer Datenschutzbeauftragter
Koordinierung von internationalen Projekten

Datenschutz im Konzern: Internationale Datentransfers (Teil 1)

admin — Tue, 22 Jun 2010 13:48:33 +0000

von Rechtsanwalt Dr. Thomas Helbing

Dies ist der zweite Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern", in der ich auf Fragestellungen des Datenschutzes eingehe, wie sie sich typischerweise in Konzernen stellen.

Im ersten Beitrag habe ich mich mit der Organisation des Datenschutzes im Konzern beschäftigt, insbesondere der Ausgestaltung der Position des Konzerndatenschutzbeauftragten und dessen Aufgaben.

In diesem Beitrag geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden. Erläutert werden dabei unter anderem die EU Standardvertragsklauseln, das Safe Harbor Programm und Binding Corporate Rules. Im Vordergrund steht die Auswahl und Umsetzung der Instrumente in der Praxis. Der Aufbau des Beitrages orientiert sich an einer schrittweisen Handlungsempfehlung, wie in der Unternehmenspraxis an die nicht leichte Aufgabe herangetreten werden kann, konzerninterne Datenflüsse datenschutzrechtlich in den Griff zu bekommen. Der Fokus liegt auf dem deutschen Recht wobei stets die Bezüge zur EG-Richtlinie dargestellt werden und auf einzelne nationale Besonderheiten hingewiesen wird.

Aufgrund des Umfangs des Themas ist dieser Beitrag in mehrere Teile untergliedert, die nacheinander erscheinen:

Einleitung und Überblick: Datentransfer im Konzern
Schritt 1: Feststellung und Analyse der Datentransfers
Schritt 2: Auswahl der Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus (Standardvertragsklauseln, Safe Harbor, Binding Corporate Rules)
Schritt 3: Umsetzung der Instrumente

Sie wollen zukünftige Beiträge nicht verpassen? Dann abbonieren Sie meinen kostenlosen Newsletter (siehe Spalte rechts). Ich freue mich auch über Ihre Kommentare, Fragen und Anregungen, die ich gerne in bestehende oder zukünftige Beiträge integriere. Bitte nutzen Sie das Kommentarfeld am Ende des Beitrags oder kontaktieren Sie mich direkt.

1) Einleitung und Überblick: Datentransfers im Konzern

a) Begriff und Beispiele für Datentransfers

Konzerne haben typischerweise mit personenbezogenen Daten in Form von Kunden- und Mitarbeiterdaten zu tun. Diese Daten verbleiben jedoch meist nicht bei dem ursprünglichen Konzernunternehmen, bei dem der Kunde bestellt hat bzw. bei dem der jeweilige Mitarbeiter angestellt ist. Vielmehr werden Kunden- und Mitarbeiterdaten häufig an andere Konzerngesellschaften übermittelt. Typische Beispiele für solche konzerninternen Datentransfers sind:

zentrale Kundendatenbanken (CRM-Systeme)
Personalinformationssysteme
konzerneigene Servicegesellschaften, die Dienstleistungen für andere Konzernunternehmen erbringen (Shared Services)

Wenn hier von "Datentransfer" die Rede ist, so setzt dies weder eine physische Übermittlung im Sinne der Übergabe eines Datenträgers noch die dauerhafte Speicherung beim Empfänger voraus. Es genügt, wenn der Empfänger Zugriff auf die Daten hat, zum Beispiel, wenn ein anderes Konzernunternehmen Zugang zu einem Firmenrechner mit personenbezogenen Daten erhält. Diese weite Auslegung ergibt sich aus der Definition des Begriffs "Übermitteln" in § 3 (4) Nr. 3 b) Bundesdatenschutzgesetze (BDSG). Danach stellt auch das Einsehen und Abrufen von Daten eine Übermittlung dar.

Eine Übermittlung liegt schließlich auch dann vor, wenn der Datensender und -empfänger dem selben Konzern angehören (§ 3 (4) Nr. 3 b BDSG). Auch ein Datenzugriff der Muttergesellschaft auf Mitarbeiterdaten der Tochter ist damit eine Datenübermittlung, ebenso eine zentrale Kundendatei, die auf Rechnern der Muttergesellschaft betrieben wird und mit Kundendaten aller Töchter gespeist wird. Weil das Gesetz grundsätzlich keinen Unterschied zwischen einem Konzernunternehmen und einem beliebigen externen Unternehmen macht, spricht man auch vom fehlenden "Konzernprivileg" des BDSG.

b) Rechtliche Zulässigkeit von Datentransfers

Die Europäische Datenschutzrichtlinie 95/46/EG und die entsprechende Umsetzung im Bundesdatenschutzgesetz enthalten zwei Voraussetzungen für eine rechtmäßige Datenübermittlung. Es hat sich insofern der Begriff einer zweistufigen Prüfung eingebürgert:

Erste Stufe: Für die Übermittlung der Daten muss ein Erlaubnistatbestand bestehen.
Zweite Stufe: Beim Datenempfänger muss ein angemessenes Datenschutzniveau sichergestellt sein.

i. Erste Stufe: Erlaubnistatbestand

Die Anforderung der Ersten Stufe ist in Artikel 7 der Datenschutzrichtlinie und § 4 (1) (2) und §§ 27 ff BDSG niedergelegt. Gemäß § 4 (1) BDSG ist die "Erhebung, Verarbeitung und Nutzung personenbezogener Daten (...) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.". Eine Datenübermittlung fällt dabei unter den Begriff der "Verarbeitung" (§ 3 (4) Nr. 3 b BDSG) und bedarf so eines rechtfertigenden Erlaubnistatbestandes.

Ob eine Datenübermittlung im Einzelfall zulässig ist, muss abhängig von den Daten, der Verarbeitung und Nutzung durch den Empfänger im jeweiligen Einzelfall geprüft werden. Trotz der Harmonisierung durch die Datenschutzrichtlinie sind die Erlaubnistatbestände in den einzelnen Mitgliedstaaten nicht identisch umgesetzt, und die Auslegung der Rechtssätze durch die nationalen Datenschutzbehörden und Gerichte fällt zum Teil sehr unterschiedlich aus. Dies gilt insbesondere für Mitarbeiterdaten, bei denen zudem häufig nationale Sonderregelungen existieren. Für den konzerninternen Datentransfer kommen in Deutschland als Erlaubnisnorm vor allem die §§ 32 (Beschäftigtendaten) und § 28 (1) 1 Nr. 2 (Interessenabwägungsklausel) BDSG in Betracht. Daneben können Datentransfers auch auf Grundlage des § 11 BDSG (Auftragsdatenverarbeitung) erfolgen; zu dieser Sonderregelung komme ich später noch.

ii. Zweite Stufe: Datenschutzniveau

Auf der zweiten Stufe geht es um die Sicherstellung eines angemessenen Datenschutzniveaus beim Datenempfänger. Diese Vorgabe findet sich in Artikel 25 der Datenschutzrichtlinie, in Deutschland umgesetzt durch § 4b BDSG.

Hat der Datenempfänger seinen Sitz in einem Mitgliedstaat der Europäischen Union (EU) oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) so ist automatisch ein ausreichendes Datenschutzniveau sichergestellt; um die zweite Stufe braucht man sich also bei Datenempfängern in diesen Staaten keine Gedanken zu machen: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Island (EWR), Italien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Norwegen (EWR), Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn, Vereinigtes Königreich und Zypern.

Daneben hat die EU-Kommission für einige nicht-EU/EWR Länder entschieden, dass deren Rechtsordnung insgesamt ein angemessenes Datenschutzniveau sicherstellt, sodass auch bei Datenempfängern in diesen Ländern Stufe Zwei unproblematisch ist: Argentinien, Schweiz Kanada (sofern auf den Empfänger der Personal Information Protection and Electronic Documents Act - PIPEDA - Anwendung findet), Guernsey, Isle of Man, Jersey und seit dem 31. Januar 2011 auch Israel.

Befindet sich das Daten empfangende Konzernunternehmen jedoch in einem anderen als den oben genannten Ländern - diese werden "Drittstaat" genannt - so müssen besondere Maßnahmen getroffen werden, um ein angemessenes Datenschutzniveau sicherzustellen.

Hierzu stehen verschiedene Instrumente zur Verfügung, die häufigsten sind:

der Abschluss eines Vertrags zwischen Datenexporteur und -importeur mit bestimmten EU-Standardklauseln
die Unterwerfung unter die Safe Harbor Prinzipien für Unternehmen in den USA oder
die Einführung von Binding Corporate Rules.

iii. Unterscheidung

In diesem Beitrag werde ich ausschließlich die zweite Stufe (Datenschutzniveau) behandeln. Auf die Voraussetzungen der ersten Stufe (Erlaubnistatbestand) möchte ich in späteren Beiträgen eingehen, die sich dann jeweils mit einzelnen Fallsituationen (z.B. Mitarbeiterdaten bei zentraler HR-Abteilung) beschäftigen.

Es ist sehr wichtig, die Zweistufigkeit der Prüfung zu kennen und sich zu vergegenwärtigen, über welche Stufe man redet. Die Trennung der beiden Stufen ist unumstritten und wird auch von Datenschutzbehörden so durchgeführt. Leider ist es aber immer noch ein verbreiteter Irrtum, dass bei Datentransfers in Drittstaaten alleine mit der Sicherstellung eines Datenschutzniveaus (Zweite Stufe) den EU-Datenschutzanforderungen ausreichend Rechnung getragen wird. Immer wieder höre ich zum Beispiel, der Datentransfer in die USA sei schon alleine deshalb unproblematisch, weil eine Safe Harbor "Zertifizierung" des US Unternehmens vorliege oder man die EU Standardvertragsklauseln unterschrieben hat. Dabei wird verkannt, dass es immer noch eines Erlaubnistatbestandes (Erste Stufe) für die Übermittlung bedarf.

Grund für die Vermengung der beiden Stufen mag sein, dass manche Aspekte sowohl auf der Ersten Stufe (Erlaubnistatbestand) als auch auf der Zweiten Stufe (Datenschutzniveau) eine Rolle spielen. Schließen Datensender und -empfänger zum Beispiel einen Vertrag nach den EU Standardvertragsklauseln für Auftragsdatenverarbeiter, so hat dies auch Auswirkungen auf die Erste Stufe: die in dem Vertrag getroffenen Schutzmechanismen zu Gunsten der Betroffenen (Mitarbeiter, Kunden) können bei der Interessenabwägung des § 28 (1) 1 Nr. 2 BDSG auf der Ersten Stufe mitberücksichtigt werden. Dennoch gilt: beide Stufen sind sauber zu trennen und jeweils einzeln zu prüfen.

c) Methodisches Vorgehen

Um bei konzerninternen Datentransfers eines ausreichendes Datenschutzniveau in den Griff zu bekommen (Zweite Stufe), empfiehlt sich folgendes Vorgehen:

Schritt 1: Feststellung und Analyse der Datenströme (siehe unten 2)
Schritt 2: Auswahl der Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus (siehe unten 3)
Schritt 3: Umsetzung der Instrumente (siehe unten 4)

In manchen Fällen hat die erste Stufe (Erlaubnistatbestand) Auswirkungen auf die Zweite Stufe, sodass bei der Entwicklung einer Strategie für die Sicherstellung eines ausreichenden Datenschutzniveaus mitbedacht werden sollte, welche Erlaubnisnorm zur Rechtfertigung der Datenübermittlung in Betracht kommt. Hierauf werde ich an geeigneter Stelle noch eingehen.

2) Schritt 1: Feststellung und Analyse der Datenströme

Zunächst muss festgestellt werden, welche Daten von welchen Konzerngesellschaften wohin übermittelt werden bzw. werden sollen (siehe unten 2.a). Anschließend wird analysiert, welche Rollen die einzelnen Gesellschaften beim Umgang mit den Daten spielen (siehe unten 2.b).

a) Ermittlung der Datentransfers

Im Einzelnen geht es um folgende Fragen:

Daten: Zu welchen Personengruppen liegen Daten vor (Mitarbeiter, Bewerber, Kunden, Interessenten, Webseiten-Besucher etc. ) und um welche Informationen handelt es sich konkret (z.B. Name, Position, Gehalt von Mitarbeitern oder Name, Adresse und Bestellhistorie von Kunden).
Transfers: An welche Konzernunternehmen werden die Daten übermittelt, bzw. von welchen Konzernunternehmen können Mitarbeiter auf die Daten zugreifen.
Zwecke: Zu welchen Zwecken erfolgt die Datenübermittlung (z.B. zentrale Lohnbuchhaltung, zentrales Kundenverwaltungsprogramm, Erbringung von Kundendienstleistungen etc.)
Herr der Daten: Welches Konzernunternehmen entscheidet faktisch darüber, wofür die Daten genutzt werden (Zweck) und in welcher Weise?
Weiterleitungen: Werden die Daten vom empfangenden Konzernunternehmen Dritten zur Verfügung gestellt oder haben Dritte darauf Zugriff (z.B. Wartungsunternehmen, Softwareanbieter, externe Dienstleister, Lohnbuchalter)?

Bei der Erfassung, welche Daten innerhalb des Konzerns übermittelt werden, ist besonderes Augenmerk auf sensible Daten zu legen. Nach Artikel 8 (1) der EU Datenschutzrichtlinie fallen hierunter "Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit oder Sexualleben". Der deutsche Gesetzgeber hat die Aufzählung wörtlich in § 3 (9) BDSG übernommen und nennt sie "besondere Arten personenbezogener Daten". Erstaunlicherweise fallen zum Beispiel Informationen über begangene Straftaten oder Finanzdaten (Kontonummern, Kontobewegungen, Vermögen) nicht darunter. Leider unterscheidet sich die Definition und Interpretation von sensiblen Daten innerhalb der EU. Einige Länder zählen etwa Identifikationsnummern wie die der Sozialversicherung auch zu den sensiblen Daten oder behandeln sie zumindest ähnlich. Bei sensiblen Daten ergeben sich vorallem auf der Ersten Stufe Besonderheiten, da viele Erlaubnisnormen für sensible Daten nicht gelten. Aber auch auf der Zweiten Stufe sind Besonderheiten zu beachten, da manche Länder beim Export sensibler Daten in Drittländer erhöhte formale Anforderungen stellen (Genehmigung durch Datenschutzbehörden).

Was die Feststellung der Transfers anbelangt, sind auch rechtlich unselbstständige Niederlassungen als eigene Einheit aufzufassen, dies hat der Düsseldorfer Kreis, eine informelle Vereinigung der obersten deutschen Aufsichtsbehörden, in seinem Positionspapier zum Internationalen Datentransfer vom 12/13. Februar 2007 klargestellt. Hat der Konzern etwa eine GmbH mit mehreren Niederlassungen in Deutschland so kann auch der Datenaustausch zwischen diesen Niederlassungen als Transfer zu qualifizieren sein. Anknüpfungspunkt des Datenschutzrechtes ist nämlich nicht die juristische Person (GmbH, AG, etc.) sondern die "Verantwortliche Stelle" (§ 3 (7) BDSG).

b) Analyse der Datentransfers

Nach Erfassung der Datenströme zeigt sich häufig ein sternförmiger Verlauf oder netzwerkartige Datenflüsse. Bei ersterem laufen die Daten bei einzelnen Konzerngesellschaften zusammen, beim netzwerkartigen Datenfluss werden Daten von einer Vielzahl von Gesellschaften zu vielen anderen Gesellschaften fließen bzw. diesen zur Verfügung gestellt. Ein solches Bild ergibt sich zum Beispiel, wenn im Konzern jedes Unternehmen die Kundendaten aller anderen Konzerngesellschaften einsehen kann.

Neben dem Erkennen solcher grundlegenden Muster im Datenstrom geht es bei der Analyse auch darum, festzustellen, welche Konzerngesellschaften verantwortliche Stelle ist und welche Rolle die Empfänger einnehmen. Zu unterscheiden sind verantwortliche Stellen und Auftragsdatenverarbeiter. Verantwortliche Stelle ist diejenige Stelle im Konzern (in der Regel eine Konzerngesellschaft), die entscheidet, wofür und wie die Daten im Wesentlichen genutzt werden. Auftragsdatenverarbeiter sind dagegen Stellen, die die Daten lediglich nach den Weisungen einer anderen Stelle für diese verarbeiten. In der englischen Terminologie der EU Datenschutzrichtlinie ist die verantwortliche Stelle der "controller", der Auftragsdatenverarbeiter wird als "processor" bezeichnet.

Entsprechend der Rolle des Datensenders und Datenempfängers lassen sich die Datentransfers in Gruppen einteilen:

Empfänger ist Processor

Empfänger ist Controller

Sender ist Controller

Controller-Processor Transfer (Auftragsdatenverarbeitung)

Controller-Controller Transfers (Funktionsübertragung)

Sender ist Processor

Processor-Processor Transfers

(Unterauftragsdatenverarbeitung)

Processor-Controller Transfer (äußert selten)

Die am häufigsten auftauchende Frage ist dabei, ob eine verantwortliche Stelle die Daten an einen Auftragsdatenverarbeiter schickt (controller-processor) oder an eine andere verantwortliche Stelle (controller- controller). Nach deutscher Terminologie geht es um die Abgrenzung und Unterscheidung von Auftragsdatenverarbeitung und Funktionsübertragung. Schaltet ein Auftragsdatenverarbeiter seinerseits einen Auftragsdatenverarbeiter ein so liegt eine Unterauftragsdatenverarbeitung vor (Processor-Processor Transfer).

Die Rolle der einzelnen Gesellschaften als verantwortliche Stelle und Auftragsdatenverarbeiter ist in mehrerer Hinsicht von entscheidender Bedeutung:

Anwendbare Recht: Es findet grundsätzlich das Recht des EU Staates Anwendung, in dem die verantwortliche Stelle (controller) ihren Sitz hat.
Verantwortlichkeit: Die verantwortliche Stelle (controller) ist für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.
Vertragliche Beziehung: Bei einer Auftragsdatenverarbeitung (Controller-Processor) müssen eine Reihe von Punkten vertraglich festgelegt werden, um sicherzustellen, dass der Datenempfänger die Daten tatsächlich nur nach den Weisungen des Datensenders verarbeitet. Der deutsche Gesetzgeber hat hierzu in § 11 BDSG einen 10-Punkte Katalog von Regelungsgegenständen festgeschrieben. Die EU Datenschutzrichtlinie verlangt dagegen "nur" einen schriftlichen Vertrag. Umstritten ist, inwiefern § 11 BDSG auch bei Auftragsdatenverarbeitern in Drittländern gilt. Bei Verwendung der Standardvertragsklauseln für den Datenexport in Drittländer ist ebenfalls danach zu unterscheiden, ob der Empfänger Auftragsdatenverarbeiter (processor) oder verantwortliche Stelle (controller) ist, da jeweils unterschiedliche Klauselwerke gelten (siehe unten).
Erlaubnisnorm: Auch auf der ersten Stufe (Erlaubnisnorm) hat die Unterscheidung Auswirkungen. Als deutsche Besonderheit liegt bei einem Transfer von einer verantwortlichen Stelle in Deutschland an einen Auftragsdatenverarbeiter in der EU oder dem EWR überhaupt keine "Übermittlung" mehr vor, da der Datenempfänger (Auftragsdatenverarbeiter) der verantwortlichen Stelle zugerechnet wird (§ 3 (8) in Verbindung mit § 3 (4) Nr. 3 BDSG). Es bedarf dann keiner Erlaubnisnorm mehr.

Wie funktioniert nun also die wichtige Unterscheidung zwischen verantwortlicher Stelle (controller) und Auftragsdatenverarbeiter (processor)? Nach der EU-Datenschutzrichtlinie ist Verantwortliche Stelle, die Stelle, "die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Auftragsdatenverarbeiter ist die Stelle, die "im Auftrag des für die Verarbeitung Verantwortlichen arbeitet". Weiteren Aufschluss gibt die Stellungnahme 1/2010 (WP 169) der Artikels 29 Datenschutzgruppe. Die Artikel-29-Datenschutzgruppe wurde gemäß Artikel 29 der Datenschutzrichtlinie eingesetzt und ist ein unabhängiges Beratungsgremium der EU in Datenschutzfragen in der auch die nationalen Datenschutzbehörden vertreten sind. Ihre Stellungsnahmen sind nicht bindend, ihnen wird aber von den nationalen Datenschutzbehörden in der Praxis hohes Gewicht beigemessen.

Entscheidend ist nach der Stellungnahme der Datenschutzgruppe, wer den Zweck und die wesentlichen Mittel der Verarbeitung bestimmt. Mit Zweck ist das "Warum?" der Datenverarbeitung gemeint, mit dem Mittel, das "Wie?". Maßgeblich ist, welche Stelle faktisch befugt ist, über diese Fragen zu entscheiden. Wer über den Zweck der Datenverarbeitung bestimmt ist automatisch verantwortliche Stelle. In Bezug auf die Mittel der Datenverarbeitung können technische und organisatorische Fragen delegiert werden. Wer dagegen über wesentliche Elemente des Mittels der Datenverarbeitung mitentscheidet, wird dadurch auch zur verantwortlichen Stelle. Wesentliche Fragen der Datenverarbeitung sind alle, die die Rechtmäßigkeit der Datenverarbeitung betreffen, zum Beispiel, wer Zugriff auf die Daten hat und wie lange diese gespeichert werden. Neben diesen Kriterien hat sich je nach Mitgliedsstaat noch ein bunter Strauß weiterer Kontrollfragen entwickelt, die bei der Abgrenzung helfen sollen. So wird in Deutschland zum Beispiel darauf abgestellt, wer nach außen hin gegenüber den Betroffenen als Datenverantwortlicher auftritt, bzw. mit dem Betroffenen eine Rechtsbeziehung hat oder für wessen Geschäftszwecke die Verarbeitung erfolgt. Die deutschen Datenschutzbehörden bestimmen beim internationalen Datentransfer die exportierende Stelle mit der Kontrollfrage: "Wer öffnet die Tür zum Datenexport?".

Die Abgrenzung beider Konstellationen (controller-controller / controller-processor Transfer) kann sehr schwierig sein und erfordert eine umfassende Berücksichtigung der konkreten Umstände. Es ist auch möglich, dass der Empfänger bei einem Datentransfer in Bezug auf bestimmte Daten Auftragsdatenverarbeiter (processor) ist und in Bezug auf andere Daten selbst verantwortliche Stelle (controller).

Beispiele:

Die Lohn- und Gehaltsabrechnung wird von einer konzerneigenen Service-Gesellschaft erbracht, die von allen Konzernunternehmen hierfür die erforderlichen Personaldaten erhält und speichert. Die Konzernunternehmen sind jeweils Verantwortliche Stelle in Bezug auf die Daten der bei Ihnen angestellten Mitarbeiter. Die Service-Gesellschaft ist Auftragsdatenverarbeiterin.

Die Kundendaten aller Europäischen Tochtergesellschaften werden in einem zentralen Kundenverwaltungsprogramm gespeichert, die von der Konzernmutter in den USA betrieben wird. Die Tochtergesellschaften entscheiden, ob und welche Daten aufgenommen werden und wie die Daten verwendet werden, z.B. ob Auswertungen der Bestellungen einzelner Kunden erfolgen und in welchem Umfang die Daten für Massen-Postsendungen (Mailings) verwendet werden. Um Einzelheiten zur technischen Sicherheit des Systems kümmert sich die Konzernmutter. Es liegt eine Auftragsdatenverarbeitung (controller - processor Transfers) vor. Wenn die Konzernmutter die Software eines Drittanbieters zur Kundenverwaltung nutzt, und dieser im Rahmen von Wartungsarbeiten auf die Kundendaten zugreifen kann, so wäre dies eine Unterauftragsdatenverarbeitung (processor - processor Transfer).

Anders hingegen im Beispiel zuvor, wenn faktisch jede Tochter ihre Daten in das System einspeisen muss und die Konzernmutter Änderungen und Erweiterungen an der Software eigenmächtig ohne Rückfragen bei den Tochtergesellschaften vornimmt und selbst entscheidet, wie die Daten ausgewertet werden: Dann ist die Grenze zur Funktionsübertragung überschritten sein (controller - controller Transfer).

c) Praktische Herangehensweise

In der Praxis lassen sich die Datenströme am einfachsten ermitteln, wenn man zunächst nach typischen Fallgruppen Ausschau hält und dabei feststellt, in welchem Zusammenhang jeweils Datentransfer stattfinden. Zu den "üblichen Verdächtigen" gehören:

zentrale Personalinformationssysteme (HRIS, Lohnbuchhaltung, Bonus-Programme)
zentrales Kundenverwaltungsmanagement (Customer Relationship Management - CRM)
zentrale ERP-Lösungen (Enterprise Resource Planning - ERP)
Zentralisierte IT (PC-Administration, Softwareinstallation/-wartung, E-Mails, Telefon)
Konzernweite Webseite z.B. mit Online-Bewerbungs System oder Kundencenter
Shared Services, die von einer konzerneigenen Dienstleistungsgesellschaft erbracht werden (Schreibservices, Reisebuchungen etc.)

Weiße Flecken auf der Datenschutzlandkarte können durch persönliche Befragungen und Fragebögen beseitigt werden. Typischerweise sind hier die Personalabteilung, die IT und der Einkauf/Verkauf sowie das Marketing (Kundendaten) die richtigen Ansprechpartner. Auch die Rechtsabteilung oder Contract Manager können bei der Aufklärung der Datenströme behilflich sein (z.B. durch zur Verfügungstellung von Outsourcing-Verträgen, Service-Verträgen etc.). Frühzeitig und eng einzubinden sind immer die betrieblichen Datenschutzbeauftragten der jeweiligen Konzerngesellschaften. Die von ihnen zu führenden öffentlichen Verfahrensverzeichnisse und internen Verarbeitungsverzeichnisse geben Hinweise auf bereits erfasste Datentransfers.

Bei der Feststellung der verantwortlichen Stellen und konzerninternen Auftragsdatenverarbeitungen gilt als Faustregel: verantwortliche Stelle für die Kundendaten ist die Konzerngesellschaft, die den Kauf- oder Dienstleistungsvertrag mit dem Kunden geschlossen hat. Bei Mitarbeiterdaten ist es die Gesellschaft, mit der der Arbeitsvertrag geschlossen wurde. Von diesen Fixpunkten aus können dann die Datenströme und die Rollen der Empfänger analysiert werden.

In dem nächsten Teil dieses Beitrages stelle ich die verschiedenen Instrumente zur Sicherstellung des Datenschutzniveaus in Drittstaaten vor und gehe jeweils auf die Vor- und Nachteile ein. Der letzte und Dritte Teil behandelt die konkrete Umsetzung der Instrumente.

Sie haben Fragen zum Datenschutz im Konzern oder suchen externe Unterstützung für Ihr Datenschutz-Team? Kontaktieren Sie mich.

Beratung bei Konzeption und Aufbau einer Datenschutz Compliance Organisation
Beratung und organisatorische Unterstützung bei der Entwicklung einer Datenschutzstrategie, z.B. in Bezug auf den internationalen Datentransfer
Stellungnahme und Gutachten zu Datenschutzfragen (Mitarbeiterdatenschutz, internationale Datentransfers, Kundendatenbanken, ERP Systeme, Webseite)
Entwurf oder Überarbeitung von internen Richtlinien und Musterverträgen
Durchführung von Audits
Prüfung von Auftragsdatenverarbeitungsverträgen
Bestellung als externer Datenschutzbeauftragter
Koordinierung von internationalen Projekten

Verschärfte Anforderungen für Datentransfers in die USA unter Safe Harbor

admin — Thu, 27 May 2010 09:16:57 +0000

von Rechtsanwalt Dr. Thomas Helbing

Die obersten deutschen Datenschutz-Aufsichtsbehörden stellen seit April 2010 verschärfte formale Anforderungen an die Übermittlung personenbezogener Daten an Unternehmen in den USA nach dem "Safe Harbor" Programm.

Mit dem Beschluss des "Düsseldorfer Kreises" vom 29. April 2010 haben die Datenschutzbehörden mitgeteilt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe Harbor Zertifizierung von US Unternehmen verlassen dürfen. Die Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe Harbor Zertifizierung und Beachtung der Safe Harbor Grundsätze nachweisen lässt.

Hierzu gehört nach Auffassung der Behörden, dass die Datenexporteure jedenfalls folgende Mindestprüfungen vornehmen:

Datum der Zertifizierung der Datenimporteure: Zertifizierungen die älter als sieben Jahre sind, sind nicht mehr gültig.
Umsetzung der Pflicht zur Information der Betroffenen: Gemäß dem "Notice" Prinzip in den Safe Harbor Grundsätzen hat der Datenimporteur in den USA Privatpersonen darüber zu informieren, zu welchem Zweck personenbezogene Daten erhoben und verwendet werden, wie sich Betroffene mit Nachfragen und Beschwerden an den Datenimporteur wenden können und an welche Dritte die Daten weitergegeben werden.

Datenexporteure in Deutschland müssen diese Mindestprüfung dokumentieren und auf Nachfrage den Aufsichtsbehörden nachweisen, so der Beschluss.

Hintergrund

Exportieren Unternehmen Mitarbeiter- oder Kundendaten oder sonstige personenbezogene Daten an Unternehmen außerhalb der EU, so müssen gemäß §§ 4b, 4c Bundesdatenschutzgesetz (BDSG) regelmäßig Maßnahmen getroffen werden, um ein "angemessenes Datenschutzniveau" beim Empfänger sicherzustellen. Datenempfänger in den USA können hierzu an dem Safe Harbor Programm teilnehmen. Im Rahmen einer Selbstzertifizierung erklären die Unternehmen dabei, die Safe Harbor Grundsätze beim Umgang mit den erhaltenen personenbezogenen Daten zu beachten und bestätigen dies gegenüber der Federal Trade Commission (FTC).

Wichtig: Ein Datenexport liegt auch dann vor, wenn keine physische Übermittlung stattfindet, sondern ein Unternehmen in den USA Zugriff auf Kunden- oder Mitarbeiterdaten eines deutschen Unternehmens hat. Die Regeln über den Datenexport gelten zudem auch innerhalb von Konzernen, z.B. wenn eine Muttergesellschaft in den USA Daten der Tochtergesellschaften abruft.

Die Federal Trade Commission nimmt derzeit keine flächendeckende Prüfung der Safe Harbor Selbstzertifizierungen vor. Zu dem Schritt der deutschen Behörden dürfte auch eine Studie beigetragen haben, die erhebliche Defizite bei der tatsächlichen Umsetzung der Safe Harbor Grundsätze aufgedeckt hat. Die Datenschutzbehörden stellen das Safe Harbor Programm nicht grundsätzlich in Frage, verlangen aber von den Datenexporteuren, sich über die tatsächliche Einhaltung beim Datenempfänger zu vergewissern. Gelingt dies nicht, ist auf alternative Instrumente, insbesondere Standardvertragsklauseln, zurückzugreifen.

Handlungsempfehlung

Datenexporteure, die bereits personenbezogene Daten an US Unternehmen auf Basis des Safe Harbor Programms übermitteln, sollten diese zeitnah kontaktieren und geeignete Nachweise verlangen, etwa eine aktuelle Bestätigungserklärung gegenüber dem US Department of Commerce, Privacy Policies und Testate unabhängiger Dritter.

Mit Hilfe der online abrufbaren Safe Harbor Liste kann ermittelt werden, ob ein US Unternehmen an dem Programm teilnimmt. Dabei sollte aber beachtet werden, dass für die Richtigkeit der Liste das DoC keine Gewähr übernimmt, die genannte Studie hat zahlreiche Ungereimtheiten bei der Liste aufgedeckt. In der Safe Harbor Liste sollte vorallem nachgesehen werden, ob der Status der Zertifizierung noch "current" (aktuell) oder bereits "not current" (abgelaufen) ist und ob die exportierten Daten von der Selbstzertifizierung erfasst sind, da Datenimporteure die Anwendung von Safe Harbor auf bestimmte Daten beschränken können (z.B. Personaldaten ausnehmen). Eine weitere Prüfmöglichkeit ist, die Webseite des Datenimporteurs zu besuchen und dort die Datenschutzhinweise (Privacy Policy) und Zertifizierungen zu studieren.

Für die Zukunft sollten Datenexporteure in ihre Verträge mit Safe Harbor Unternehmen eine Verpflichtung der US Unternehmen aufnehmen, die Safe Harbor Zertifizierung während der Vertragslaufzeit aufrechtzuerhalten, die entsprechenden Grundsätze zu beachten und hierfür geeignete Nachweise zu erbringen. Für den Fall eines Verstoßes kann sich der Datenexporteur eine Meldung bei der für ihn zuständigen deutschen Aufsichtsbehörde vorbehalten.

Weitere Informationen

Sie haben Fragen zum internationalen Datentransfer oder zum Datenschutzrecht allgemein? Dann kontaktieren Sie mich: Dr. Thomas Helbing, helbing@thomashelbing.com, Telefon (0 89) 39 29 70 07. Gerne lasse ich Ihnen ein Musterschreiben zur Adressierung an Safe Harbor Unternehmen zukommen.

Datenschutz im Konzern: Der Konzerndatenschutzbeauftragte und die Organisation der Datenschutz Compliance

admin — Tue, 18 May 2010 13:36:33 +0000

von Dr. Thomas Helbing

Dies ist der einleitende Beitrag aus meiner neuen Artikel-Reihe "Datenschutz im Konzern". In den einzelnen Beiträgen möchte ich auf Fragestellungen des Datenschutzes eingehen, wie sie sich typischerweise in Konzernen stellen.

Im einleitenden Teil geht es um die Organisation des Datenschutzes im Konzern, insbesondere die Ausgestaltung der Position des Konzerndatenschutzbeauftragten und dessen Aufgaben.

Weitere (geplante Themen) sind:

Internationale Datentransfers im Konzern (mittlerweile alle drei Teile erschienen)
Datenschutz bei Hinweisgeber-Systemen (Whistleblowing)
Zentrale Speicherung von Mitarbeiterdaten im Konzern (Personal-Informations-Systeme)

Sie wollen zukünftige Beiträge nicht verpassen? Dann abbonieren Sie meinen kostenlosen Newsletter. Ich freue mich auf Ihre Kommentare, Fragen, Anregungen und Hinweise, die ich gerne in bestehende oder zukünftige Beiträge integriere.

Der betriebliche Datenschutzbeauftragte und Konzerndatenschutz

Im Unterschied zu vielen anderen Bereichen der betrieblichen Compliance (Corporate Compliance) gibt es für die Organisation der Datenschutz Compliance konkrete gesetzliche Regelungen: So verpflichtet § 4f des Bundesdatenschutzgesetzes (BDSG) alle größeren Unternehmen einen Datenschutzbeauftragten zu bestellen. Dessen vom Gesetz festgelegte Aufgabe ist es, auf die Einhaltung der Datenschutzvorschriften durch das jeweilige Unternehmen "hinzuwirken".

Der Datenschutzbeauftragte

Der Datenschutzbeauftragte ist unmittelbar der Unternehmensleitung zu unterstellen, § 4f (3) 1, 2 BDSG und in seiner Funktion als Datenschutzbeauftragter weisungsfrei. Befugnisse zur Umsetzung der datenschutzrechtlichen Anforderungen gibt das Gesetz dem Datenschutzbeauftragten jedoch nicht. Er hat also von Gesetzes wegen noch keine Weisungsrechte gegenüber Mitarbeitern im Hinblick auf Datenschutzfragen und auch keine entsprechende Richtlinienkompetenz. Der Datenschutzbeauftragte kann zum Beispiel nicht die Personalabteilung anweisen, Bewerberdaten nach einer bestimmten Zeit zu löschen. Letztlich verantwortlich für die Umsetzung und Einhaltung des Datenschutzes bleibt damit die Unternehmensleitung. Natürlich können Unternehmen entsprechende Befugnisse dem Datenschutzbeauftragten im Anstellungsvertrag einräumen. Dies hat dann auch Auswirkungen auf die Haftung des Datenschutzbeauftragten.

Der Datenschutzbeauftragte kann - muss aber nicht - beim Unternehmen angestellt sein (interner Datenschutzbeauftragter). Ist der Datenschutzbeauftragte nicht bei dem Unternehmen beschäftigt, für das er bestellt ist, so spricht man von externen Datenschutzbeauftragten. Diese finden sich in erster Linie bei kleineren und mittleren Unternehmen.

Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Seit 1. September 2009 genießt ein beim Unternehmen beschäftigter Datenschutzbeauftragter zudem einen besonderen Kündigungsschutz (§ 4f (3) BDSG), womit eine ordentliche Kündigung des Arbeitsverhältnisses ausscheidet.

Fehlendes Konzernprivileg

Bilden mehrere Gesellschaften einen Konzern, etwa indem sie im Mehrheitsbesitz einer Muttergesellschaft stehen, so hat jede Gesellschaft isoliert einen Datenschutzbeauftragten zu bestellen. Es genügt insbesondere nicht, wenn nur die Muttergesellschaft eine solche Bestellung vornimmt; dies ist ein Grund für die oft wiederholte Feststellung, das BDSG enthalte kein "Konzernprivileg". Es ist aber grundsätzlich möglich, ein und die selbe Person in einer Vielzahl von Unternehmen zum Datenschutzbeauftragten zu bestellen; mehr dazu unten.

Herausforderung Konzerndatenschutz

Beim Aufbau einer Compliance Organisation für den Datenschutz im Konzern geht es aber keineswegs nur darum, der Pflicht zur Bestellung von Datenschutzbeauftragten nachzukommen. Ein Unternehmensverbund stellt weitergehende Anforderungen an den Datenschutz, insbesondere im Hinblick auf Koordination, Beratung und Kontrolle.

Datenschutzrechtliche Fragestellungen und Probleme, die mehrere Konzernunternehmen betreffen, sollen oder müssen einheitlich behandelt werden (Umgang mit Mitarbeiterdaten, Datenschutz im Zusammenhang mit den vom Konzern verkauften Produkten, Hinweisgeber-Systeme, Zugriff auf Mitarbeiter E-Mails- und Kontrolle der Telefonnutzung).
Eine einheitliche Software soll konzernweit eingesetzt werden und bedarf deshalb eines übergreifenden Datenschutzkonzeptes (Personalinformationssystem, CRM- oder ERP-Software).
Für den Transfer bzw. Austausch von Mitarbeiter- oder Kundendaten zwischen Konzerngesellschaften und mit Dritten muss ein einheitlicher Lösungsansätze gefunden werden.
Bei internationalen Konzernen muss eine Strategie entwickelt werden, wie in Drittstaaten (außerhalb der EU und des EWR) ein angemessenes Datenschutzniveau sichergestellt wird (Standardvertragsklauseln, Binding Corporate Rules). Zudem muss die Einhaltung der lokalen Datenschutzbestimmungen sichergestellt werden. Diese weichen auch innerhalb der EU trotz Harmonisierung zum Teil erheblich ab, vor allem im Bereich der Meldepflicht und Mitarbeiterdaten.
Bei der Verhandlung von datenschutzrelevanten Betriebsvereinbarungen mit Betriebsräten bzw. dem Gesamtbetriebsrat/Konzernbetriebsrat wird von Seiten des Unternehmens ein zentraler Ansprechpartner benötigt.
Schulungen, Datenschutzkontrollen und Audits sind mit anderen internen Stellen (z.B. Revision, Rechtsabteilung, Personalabteilung) abzustimmen und konzernweit anzugleichen.

Soweit der Konzerndatenschutzbeauftragte als Datenschutzbeauftragter nach § 4f BDSG bestellt ist, hat er zum einen die oben genannten originären Aufgaben zu erfüllen, die ihm das Gesetz zuweist. Als konzernweit Verantwortlicher für den Datenschutz treten noch besondere Aufgaben hinzu wodurch sich das Aufgabenbild ändert: Der Konzerndatenschutzbeauftragte ist vor allem planend, koordinierend und beratend tätig. Er erarbeitet Datenschutzziele, stimmt diese mit der Konzernleitung ab und entwirf eine Strategie und konkrete Maßnahmen zu deren Umsetzung.

Viele Aufgaben, zum Beispiel die Datenschutz-Kontrolle oder Schulung von Mitarbeitern, sind nur durch Hilfspersonal oder in Zusammenarbeit mit anderen Abeilungen (IT, Personalabteilung, Revision oder Rechtsabteilung) umzusetzen. Das setzt voraus, dass eine konzernintern Datenschutz-Organisation aufgebaut wird. Hierzu gehören dedizierte Ansprechpartner in den einzelnen Unternehmensbereichen und Fachabteilungen.

Organisationsformen (Einheitsmodell und Koordinationsmodell)

Grundsätzlich lassen sich zwei Formen der Datenschutzorganisation im Konzern unterscheiden: Das Einheitsmodell und das Koordinationsmodell:

Beim Einheitsmodell wird eine Person als Datenschutzbeauftragter bei der Konzernmutter und allen anderen Konzerngesellschaften bestellt. Der Konzerndatenschutzbeauftragte ist hier in Personalunion Datenschutzbeauftragter jeder Konzerngesellschaft; die gesetzlichen Aufgaben des Datenschutzbeauftragten werden bei ihm gebündelt. Aus meiner anwaltlichen Beratung und verschiedenen Gesprächen mit Datenschutzverantwortlichen in Konzernen habe ich den Eindruck gewonnen, dass sich viele große Konzerne für diesen Ansatz entschieden haben. Der Datenschutzbeauftragte ist häufig bei der Muttergesellschaft angestellt und handelt für diese als interner, für alle anderen Konzerngesellschaften entsprechend als externer Datenschutzbeauftragter.

Alternativ kann die konzernweite Datenschutz Compliance auch von einer Person koordinierend übernommen werden. Diese ist entweder gar nicht oder nur bei der Muttergesellschaft als Datenschutzbeauftragter bestellt. Seine Aufgabe ist es, die unterschiedlichen, für jedes Unternehmen bestellten Datenschutzbeauftragten zu koordinieren und zu.

Vor- und Nachteile der beiden Modelle

Mit dem Einheitsmodell lässt sich der Datenschutz konzernweit am besten harmonisieren, da keine Abstimmung zwischen verschiedenen Beauftragten nötig ist. Beim Koordinationsmodell müssen dagegen alle Datenschutzbeauftragten unter einen Hut gebracht werden, bei Meinungsverschiedenheiten droht eine Zersplitterung des Datenschutzkonzeptes, weil kraft Gesetzes keine Weisungsmöglichkeit besteht.

Beispiel: Ein Konzern plant die Einführung eines Hinweisgeber-Systems (Whistleblowing-Hotline) bei der Mitarbeiter Verdachtsfälle von Straftaten gegen das Unternehmen durch andere Angestellte melden können. Bei diesen Whistleblowing Systemen sind personenbezogene Daten sowohl des Hinweisgebers als auch des Beschuldigten betroffen und deren Interessen gegen die des Unternehmens abzuwägen. Die Datenschutzbeauftragten aller involvierten Konzernunternehmen haben das Hinweisgebersystem in Bezug auf die Datenschutzkonformität im Rahmen einer so genannten Vorabprüfung (§ 4d (5) BDSG) zu bewerten. Kommen sie zu unterschiedlichen Ergebnissen, kann das System unter Umständen nicht konzernweit einheitlich eingeführt werden oder es kommt zu Verzögerungen, weil Bedenken einzelner Konzerngesellschaften ausgeräumt werden müssen.

Der Konzerndatenschutzbeauftragten kommt beim Einheitsmodell mit nahezu allen Datenschutzfragestellungen in den verschiedenen Unternehmensteilen in Berührung und kann so spezifisches Fachwissen aufbauen und Synergieeffekte nutzen. Das Einheitsmodell erlaubt so oft eine kosteneffiziente und schlanke Organisation des Datenschutzes; so genügt es, wenn zum Beispiel nur der Konzerndatenschutzbeauftragte zu externen Datenschutzschulungen geschickt wird, statt eine ganze Gruppe von Personen. Die Bestellung als Datenschutzbeauftragter verleiht zudem intern im Unternehmen und extern gegenüber Behörden und Betroffenen eine starke Stellung.

Mit dem Einheitsmodell wird außerdem auf einen Schlag das formale Kriterium der Bestellung eines Datenschutzbeauftragten erfüllt; die oft als mühsam und schwierig empfundene Suche nach einer geeigneten (und willigen) Person für die Position des Datenschutzbeauftragten im Unternehmen entfällt.

Allerdings kann das Einheitsmodell auch leicht zu einer Arbeitsüberlastung des Konzerndatenschutzbeauftragten führen, da er alle gesetzlichen Aufgaben des Datenschutzbeauftragten, von der Führung des Verfahrensverzeichnisses bis hin zur Schulung der Mitarbeiter in allen Unternehmen zu erledigen hat. Dadurch droht der Blick für das "große Ganze" verloren zu gehen, weil wegen vieler kleiner Baustellen die Zeit fehlt, eine einheitliche Strategie und konzernweite Lösungsansätze zu entwickeln.

Hinzu kommt, dass der Konzerndatenschutzbeauftragte bei der Einheitslösung als externer Datenschutzbeauftragter einen schlechteren Einblick in die Gegebenheiten der einzelnen Tochterunternehmen hat, weil er nicht so gut in die betriebliche Organisation eingebunden ist als ein Mitarbeiter vor Ort. Datenschutz im Konzern ist in erheblichem Maße eine Frage der Kommunikation: von der Informationsbeschaffung über datenschutzrelevante Vorgänge bis zur Schulung und Kontrolle. All diese Aufgaben sind umso schwieriger, je größer der Konzern und je weiter weg der Konzerndatenschutzbeauftragte ist.

Um diesen Risiken vorzubeugen, muss dem Konzerndatenschutzbeauftragten bei der Einheitslösung Hilfspersonal zugeteilt werden. Hierbei handelt es sich nach meinen Erfahrungen oft um ein bei der Konzernmutter gebildetes Team, das den Konzerndatenschutzbeauftragten unterstützt. Alternativ oder - in der Praxis häufiger - ergänzend können Kontaktpersonen bei den jeweiligen Tochterunternehmen zugeteilt werden. Da diese bei der Einheitslösung nicht als Datenschutzbeauftragte bestellt sind, können sie den Weisungen des Konzerndatenschutzbeauftragten unterstellt werden. Der Aufbau dieser Organisation von Hilfspersonal ist einer der ersten Schritte beim Aufbau einer Konzern-Datenschutz-Compliance.

Schließlich ist noch zu berücksichtigen, dass es beim Einheitsmodell zu Interessenskonflikten beim Konzerndatenschutzbeauftragten kommen kann, wenn die einzelnen Gesellschaften unterschiedliche Interessen verfolgen, etwa beim konzerninternen Datentransfer. Während die Muttergesellschaft in der Regel an einem umfassenden und ungehinderten Datenaustausch interessiert ist, können Tochtergesellschaften gegenläufige Interessen haben.

Die folgende Tabelle fasst die Vor- und Nachteile der beiden Modelle zusammen:

Einheitsmodell	Koordinationsmodell
Eine Person wird als Datenschutzbeauftragter für alle Konzernunternehmen bestellt.	Der Konzerndatenschutzbeauftragte wird nur bei der Muttergesellschaft bestellt und koordiniert und berät die verschiedenen Datenschutzbeauftragten der Tochtergesellschaften.
(+) Leichte Vereinheitlichung des Datenschutzes im Konzern möglich	(-) Abstimmung unter den Datenschutzbeauftragten nötig, kein Weisungsrecht bei Meinungsverschiedenheiten, drohende "Zersplitterung" des Datenschutzkonzeptes
(+) Aufbau von Fachwissen, Nutzung von Synergieeffekten, schlanke Organisation, niedrigere Kosten
(+) Starke interne und externe Stellung
(+) Keine Suche nach Datenschutzbeauftragten für alle Unternehmen	(-) Aufwändiges Suchen von geeigneten und willigen Personen für die Position des Datenschutzbeauftragten
(-) Drohende Arbeitsüberlastung des Konzerndatenschutzbeauftragten
(-) Fehlender Einblick in die individuellen Begebenheiten des jeweiligen Unternehmens; schlechtere Einbindung in die Organisation	(+) Gute Einbindung in die Organisation vor Ort, leichtere Informationsbeschaffung, Schulung und Kontrolle.
(-) Mögliche Interessenskollision	(+) Keine Interessenskonflikte

Zu berücksichtigende Kriterien

Welches Modell das bessere ist, lässt sich pauschal nicht sagen. In der Praxis findet sich in Konzernen wohl häufiger die Einheitslösung, weil sie bei der Vereinheitlichung und Standardisierung im Vorteil liegt.

Letztlich muss aber immer auf die konkreten Umstände abgestellt werden:

Hat ein Konzern Unternehmensbereiche, die zu sehr unterschiedlichen Branchen gehören, kann es sinnvoll sein, im Rahmen eines Koordinationsmodells für die einzelnen Bereiche Datenschutzbeauftragte zu bestellen. Diese kennen sich mit den jeweiligen branchenspezifischen Besonderheiten gut aus. Eine Vereinheitlichung übergreifender Datenschutz-Aspekte lässt sich durch eine Koordinierung erreichen.

Das gleiche gilt, wenn die Standorte der einzelnen Unternehmen weit auseinander liegen und sich die Unternehmenskultur und -organisation in den verschiedenen Konzernteilen stark unterscheiden. Solche Fälle finden sich insbesondere nach größeren Zukäufen oder Verschmelzungen von Unternehmensteilen (Merger & Acquisitions).

Ist bereits ein eingespieltes Team von Datenschutzbeauftragten etabliert, kann ein Koordinierungsmodell ebenfalls eine gute Lösung sein, um Datenschutzstandards zu vereinheitlichen und konzernweite Datenschutzfragen anzugehen. Steht ein Konzern am Anfang seiner Compliance-Bemühungen im Datenschutz kann zunächst auf das Koordinationsmodell gesetzt werden, um einen Überblick zu gewinnen. Anschließend können dann immer noch schrittweise die verschiedenen Datenschutzbeauftragten durch einen Konzerndatenschutzbeauftragten abgelöst werden.

Stellungnahmen von Aufsichtsbehörden

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz hat in einer "Orientierungshilfe" für betriebliche Datenschutzbeauftragte zum Einheitsmodell wie folgt Stellung genommen:

"Die Bestellung eines solchen Konzerndatenschutzbeauftragten ändert nichts daran, dass die einzelnen Konzernunternehmen ebenfalls einen eigenen Beauftragten zu bestellen haben. Dabei kann es sinnvoll sein, dass mehrere oder alle Tochterunternehmen ein und denselben betrieblichen Datenschutzbeauftragten bestellen, um Synergieeffekte und einen konzerneinheitlichen Datenschutzstandard zu erzielen."

In ihrem Ersten Tätigkeitsbericht aus dem Jahre 2002/2003 äußert sich die Regierung von Mittelfranken als Bayerische Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich differenziert zum Einheitsmodell:

"In größeren Konzernen wird häufig ein Konzerndatenschutzbeauftragter bestellt, der gleichzeitig für die einzelnen Unternehmen des Konzerns als externer Datenschutzbeauftragter fungiert. In den einzelnen Unternehmen sind dann häufig zu seiner Unterstützung noch „Datenschutzkoordinatoren“ tätig.

(...)

Diese Lösung hat einerseits die Vorteile, dass der konzerninterne Datenaustausch gut überblickt werden kann, die Umsetzung des Datenschutzes konzernweit einheitlich erfolgt und bei gleichartigen Konzernunternehmen Synergieeffekte und zahlreiche Praxiserfahrungen ausgenutzt werden können. Andererseits hat sie aber auch oft den Nachteil, dass der notwendige eigene Einblick in die einzelnen Unternehmen und damit der jeweilige betriebsinterne Bezug vor allem
dann fehlt, wenn der Konzern nicht einheitlich strukturiert ist und unterschiedliche Geschäftsfelder aufweist.

Wir raten deshalb in der Regel zur gegenteiligen Lösung, bei der in jedem rechtlich selbständigen Mitgliedsunternehmen ein Datenschutzbeauftragter bestellt wird. Einer davon wird von der Konzernspitze als Koordinator für den gesamten Konzern eingesetzt. Seine Aufgaben sollten denen eines Konzerndatenschutz-beauftragten angenähert sein, um die oben genannten Vorteile auch hier weitgehend wirksam werden zu lassen.

Dieses Modell entspricht mehr der Intention des BDSG, das davon ausgeht, dass der Datenschutzbeauftragte mit den betrieblichen Zusammenhängen und Abläufen gut vertraut sein muss, um seine gesetzlichen Aufgaben erfüllen zu können. Dazu gehören auch eine gewisse Ortsnähe und ein guter Einblick in den jeweiligen Betrieb".

Die Hessische Datenschutzbehörde hat in ihrem Tätigkeitsbericht für 1999 eine ähnliche Empfehlung ausgesprochen:

"Bei Konzernunternehmen, die sehr unterschiedliche Geschäftsfelder aufweisen und nicht einheitlich strukturiert sind, sollte möglichst dezentral für jedes Tochterunternehmen ein Datenschutzbeauftragter ernannt werden. Synergieeffekte sind hier mit einem zentralen Datenschutzbeauftragten nicht in jedem Fall (oder nur in geringem Umfang) zu erwarten."

Zusammenfassung und Ausblick

Der Aufbau einer konzernweiten Datenschutz Compliance Organisation ist eine große Herausforderung. Trotz der gesetzlich ausformulierten Position des Datenschutzbeauftragten ergeben sich für Konzerne unterschiedliche Lösungs-Ansätze mit individuellen Vor- und Nachteilen. Der Aufgabenkreis - und entsprechend das Anforderungsprofil - des obersten Datenschützers im Konzerns ist mehr als der im Gesetz beschriebene betriebliche Datenschutzbeauftragter, der Konzerndatenschutzbeauftragte ist in erster Linie ein Datenschutz-Manager.

Der Aufbau einer Datenschutz-Organisation stellt nicht nur eine Chance auf Vereinheitlichung und Verbesserung des Datenschutzniveaus dar, sondern bietet auch Einsparpotential durch Synergieeffekte.

Das Thema Datenschutz dürfte in Zukunft an Bedeutung gewinnen. Das zeigen die vielen gesetzlichen Neuregelungen des Jahres 2009 und die gegenwärtigen Bemühungen zur Kodifizierung des Beschäftigtendatenschutzes. Hinzu kommt, dass nach einem Urteil des Europäischen Gerichtshofs (EuGH) Deutschland die Stellung seiner Datenschutzaufsichtsbehörden neu regeln muss, um ihre durch die EU Datenschutzrichtlinie 95/46/EG garantierte Unabhängigkeit sicherzustellen. Mit der neuen Unabhängigkeit könnte auch eine neue Vollzugspraxis einkehren. Auch haben die Novellen aus dem Jahr 2009 den Aufsichtsbehörden ein deutlich schärferes Instrumentarium an die Hand gegeben, einschließlich der Möglichkeit, Gewinne aus Datenschutzverstößen abzuschöpfen. Damit sind die rechtlichen Rahmenbedingungen für ein strengeres Durchgreifen der Aufsichtsbehörden geschaffen, so wie es in anderen EU-Ländern (Frankreich, Spanien) schon länger zu beobachten ist.

Sie haben Fragen zum Datenschutz im Konzern oder suchen externe Unterstützung für Ihr Datenschutz-Team? Kontaktieren Sie mich.

Beratung bei Konzeption und Aufbau einer Datenschutz Compliance Organisation
Stellungnahme bei konkreten Datenschutzfragen (Mitarbeiterdatenschutz, internationale Datentransfers, Kundendatenbanken, ERP Systeme, Webseite)
Entwurf oder Überarbeitung von internen Richtlinien und Musterverträgen
Durchführung von Audits
Prüfung von Auftragsdatenverarbeitungsverträgen
Bestellung als externer Datenschutzbeauftragter
Koordinierung von internationalen Projekten

Datenschutz bei Software as a Service (SaaS): Verträge zur Auftragsdatenverarbeitung nach § 11 BDSG praktikabel und gesetzeskonform gestalten

admin — Mon, 19 Apr 2010 05:56:23 +0000

von Dr. Thomas Helbing

Obwohl sich Software as a Service (SaaS) immer größerer Beliebtheit erfreut, herrscht noch viel Unsicherheit und zum Teil Unkenntnis im Hinblick auf die datenschutzrechtlichen Anforderungen. Kaum ein SaaS-Vertrag, den ich zur Prüfung oder Überarbeitung erhalten habe, erfüllte die Vorgaben des neuen § 11 Bundesdatenschutzgesetz (BDSG). Kunden aber auch Anbieter dürfen sich der Materie nicht verschließen.

Nach dem BDSG bleibt der Kunde für die Rechtmäßigkeit der Verarbeitung seiner Mitarbeiter- und Kundendaten durch den SaaS-Anbieter voll verantwortlich und ist verpflichtet, den Anbieter sorgfältig auszuwählen, regelmäßig zu kontrollieren und das Ergebnis der Kontrollen zu dokumentieren. Das BDSG enthält zudem seit dem 1. September 2009 einen 10-Punkte Katalog mit Regelungsgegenständen, die in einem schriftlichen Vertrag zur Auftragsdatenverarbeitung zwingend umgesetzt werden müssen. Bei mangelhaften Verträgen drohen Kunden Bußgelder bis zu € 50.000.

Aber auch Anbieter sollten darauf achten, dass Ihre Standardvertragsbedingungen (AGB) den gesetzlichen Anforderungen genügen. Leider ignorieren noch immer viele Anbieter die datenschutzrechtlichen Compliance Anforderungen ihrer Kunden. Dabei würden SaaS-Provider, deren AGB den Vorgaben des BDSG genügen, bei potentiellen Kunden und deren Datenschutzbeauftragten leicht Pluspunkte sammeln; oder anders gesagt: wessen AGB den gesetzlichen 10-Punkte Katalog ignorieren, fällt oftmals schon von vorne herein heraus, weil sich der Kunde nicht auf mühsame Vertragsverhandlungen einlassen will.

Umsetzung des 10-Punkte Katalogs für die Auftragsdatenverarbeitungs (§ 11 BDSG) bei Software as a Service (SaaS) Verträgen

In der Tabelle unten habe ich einige Punkte zusammengestellt, wie die Anforderungen des § 11 BDSG im Rahmen von SaaS-Verträgen praktisch umgesetzt werden können. Anregungen, Kommentare und Kritik sind herzlich willkommen. Wenn Sie Fragen haben oder einen Vertrag prüfen, überarbeiten oder entwerfen lassen wollen, kontaktieren Sie mich gerne.

Die Tabelle ist zugeschnitten auf Software as a Service Verträge, bei denen die zur Verfügung gestellte Anwendung stark standardisiert ist, d.h. es können für jeden Mandanten individuelle Parametrisierungen vorgenommen werden, in der Regel erfolgen aber keine kundenspezifischen Änderungen am Service selbst. Die Regelungsvorschläge erfolgen unter besonderer Berücksichtigung der Sondersituation der SaaS-Anbieter bei gleichzeitiger Erfüllung der Compliance Voraussetzungen (§ 11 BDSG) der Kunden.

Behandelt wird nur der Teil der Auftragsdatenverarbeitung in einem SaaS-Vertrag. Daneben sind im SaaS-Vertrag noch eine Reihe weiterer Vertragsbedingungen auf die Sondersituation bei SaaS hin auszugestalten (z.B. Anwendung mietrechtlicher Regelungen nach der ASP-Rechtsprechung des BGH, Service Levels, Haftung, Service-Beschreibung etc.).

Abgrenzung von Auftragsdatenverarbeitung und "Funktionsübertragung" bei SaaS

Der 10-Punkte Katalog zur Auftragsdatenverarbeitung nach § 11 BDSG ist natürlich nur einschlägig, wenn tatsächlich personenbezogene Daten im Auftrag verarbeitet werden. Personenbezogene Daten wie z.B. Mitarbeiter- oder Kundendaten werden bei den meisten SaaS Anwendungen verarbeitet, bereits das Speichern solcher Daten ist ein verarbeiten. Ausnahme: es handelt sich um rein technische Daten (Bauzeichnungen) oder die Daten wurden anonymisiert, so dass der Anbieter keinerlei Rückschluss auf bestimmte Personen ziehen kann.

Keine Auftragsdatenverarbeitung liegt vor, wenn der Anbieter die Daten nicht nach den Weisungen des Kunden verarbeitet, sondern seinerseits verantwortliche Stelle ist. Dies ist der Fall bei einer so genannten "Funktionsübertragung". Die Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung ist mitunter fließend und - nach umstrittener Ansicht - in gewissem Umfang auch von den Parteien durch vertragliche Regelungen beeinflussbar.

Teilweise wird beim SaaS wie auch beim Outsourcing versucht, ein Anbieter-Kunden Verhältnis als Funktionsübertragung auszugestalten, um so den strengen Anforderungen des § 11 BDSG zu entgehen. Juristisch steckt Folgendes dahinter: Sendet ein Unternehmen (SaaS-Kunde) personenbezogene Daten an einen "Dritten" (SaaS-Anbieter), oder gewährt diesem darauf Zugriff, so liegt ein "Übermitteln" im Sinne des § 3 (4) Nr. 3 BDSG vor. Eine solche Übermittlung ist nur zulässig, wenn hierfür eine Erlaubnisnorm existiert. Verarbeitet der Dritte hingegen personenbezogene Daten strikt nach den Weisungen (im Auftrag) des Kunden, so ist er "Auftragsdatenverarbeiter" und nach der Definition des § 3 (8) S. 2 BDSG kein "Dritter" mehr. Folge: Es findet rechtlich keine "Übermittlung" statt, womit für diese auch keine Erlaubnisnorm mehr benötigt wird (die Datenverarbeitung im Rahmen der SaaS-Anwendung selbst, muss natürlich weiterhin datenschutzrechtlich zulässig sein).

Der Auftragsdatenverarbeiter ist nach der Vorstellung des Gesetzes so eng an den Kunden gebunden, dass er datenschutzrechtlich eine Art interne Abteilung des Kunden darstellt. Dies setzt aber voraus, dass mit dem Auftragsdatenverarbeiter ein Vertrag geschlossen wird, der den Anforderungen des § 11 BDSG genügt. Vor dem Hintergrund diverser öffentlich bekannt gewordener Datenschutzpannen hat der Gesetzgeber mit Wirkung zum 1. September 2009 die inhaltlichen Anforderungen an Verträge zur Auftragsdatenverarbeitung verschärft.

Die Auftragsdatenverarbeitung ist seitdem etwas unpopulär und man versucht mitunter darauf zu verzichten und stattdessen auf Basis einer Datenübermittlung eine Datenschutz-Compliance sicherzustellen. Doch dieser Lösungsansatz hat Nebenwirkungen:

Ohne Auftragsdatenverarbeitung liegt eine "Übermittlung" von Daten an den Anbieter vor, die einer Erlaubnisnorm bedarf. Als Erlaubnisnorm stützt man sich häufig auf die Interessensabwägungsklausel des § 28 (1) Nr. 3 BDSG. Um eine Übermittlung nach dieser Vorschrift "hinzubekommen" müssen aber oft Regelungen zum Schutz der Interessen der Betroffenen (Mitarbeiter, Kunden) getroffen werden, und hierfür braucht man dann wieder vertragliche Regelungen, die zum Teil denen einer Auftragsdatenverarbeitung ähneln.
Eine Rechtfertigung nach der Interessensabwägungsklausel funktioniert nicht mehr, wenn "besondere Arten von Daten" im Sinne des § 3 (9) BDSG (z.B. Daten zur Gesundheit, Gewerkschaftszugehörigkeit etc.) im Raum stehen, was leider häufig der Fall ist bzw. nicht ausgeschlossen werden kann.
Wenn das Verhältnis der Parteien einer Auftragsdatenverarbeitung ähnelt, wirkt die Übermittlungs-Lösung etwas gekünstelt oder besser gesagt: ihr haftet der "Makel" an, es handle sich um eine Umgehung der gesetzlichen Anforderungen für eine Auftragsdatenverarbeitung. Damit will ich nicht sagen, dass die Übermittlungs-Lösung kein gangbarer Weg ist. Ich habe aber schon mehr als einmal erlebt, das der Datenschutzbeauftragte beim Kunden ein solches Modell nicht "durchschaut" und auf einem Auftragsdatenverarbeitungsvertrag besteht.
Das Übermittlungsmodell erspart dem Anbieter zwar die Einhaltung von § 11 BDSG, diesen Vorteil erkauft er sich aber dadurch, dass er als Datenempfänger mitverantwortlich für die Rechtmäßigkeit der Datenverarbeitung wird, was nach meiner Meinung ein nicht zu unterschätzender Nachteil ist.
Was gerne übersehen wird: Das Übermittlungsmodell sprengt die Kette von Auftragsdatenverarbeitungsverhältnissen. Verarbeitet der Kunde die Daten seinerseits für einen Dritten, mit dem er ein Auftragsdatenverarbeitungsverhältnis geschlossen hat, kann er regelmäßig einem Übermittlungsmodell nicht zustimmen. Beispiel: Ein Callcenter übernimmt für einen TK-Anbieter den Kundensupport, hierfür erhält das Callcenter Kundendaten des TK-Anbieters, die es typischerweise als Auftragsdatenverarbeiter verarbeitet. Das Callcenter will nun eine Software im Wege des SaaS Modells nutzen, um die Kundendaten zu verwalten. Dies ist nur möglich, wenn der SaaS Anbieter seinerseits Auftragsdatenverarbeiter ist, da der Vertrag zwischen Callcenter und TK-Anbieter in der Regel vorsieht, dass die Daten nur an Subunternehmer weitergegeben werden, die die Daten im Auftrag des Callcenters verarbeiten (und mindestens das gleiche Schutzniveau vorsehen, wie der Vertrag TK-Anbieter/Callcenter).

Der Verzicht auf eine Auftragsdatenverarbeitung (Übermittlungs-Lösung) ist also nicht der Königsweg und sollte vorher sorgfältig geprüft werden. In ihrer Stellungnahme zum "Cloud Computing und Datenschutz", geht auch die Datenschutzaufsichtsbehörde für Schleswig-Holstein davon aus, dass Cloud Computing technisch einer Auftragsdatenverarbeitung gleich kommt.

Auslandsbezug

Die Auftragsdatenverarbeitung nach § 11 BDSG ist einschlägig, wenn der Sitz des Kunden (Verantwortliche Stelle) in Deutschland liegt und der Anbieter (Vertragspartner) ebenfalls seinen Sitz in Deutschland oder einem anderen Mitgliedstaat der EU oder des Europäischen Wirtschaftsraumes (EWR) hat.

Sitzt die Vertragspartei auf Anbieterseite außerhalb der EU / des EWR gilt § 11 BDSG nicht mehr, sodass nach dem Wortlaut des Gesetzes eine zu rechtfertigende Daten-"Übermittlung" stattfindet. Dies hat nunmehr auch die Datenschutzbehörde von Schleswig-Holstein in der genannten Stellungnahme zum Cloud-Computing zum Ausdruck gebracht.

Zudem müssen in diesen Fällen des EU-Datenexports regelmäßig zusätzliche Vereinbarungen getroffen werden, um ein ausreichendes Datenschutzniveau beim Anbieter im Ausland sicherzustellen. Hierbei spielen die EU Standardvertragsklauseln eine wichtige Rolle, für die seit dem 15. Mai 2010 eine neue Fassung gilt. Hierzu verweise ich auf meinen Beitrag, der Hintergrund und Änderung der EU Standardvertragsklauseln erläutert.

Tabelle: Umsetzung des 10-Punkte Katalogs des § 11 BDSG bei der Auftragsdatenverarbeitung durch SaaS-Anbieter

§ 11 (1), § 11 (3) 1 BDSG: Weisungsgebundenheit

Verarbeitung personenbezogener Daten erfolgt im Auftrag und nach den Weisungen des Kunden - Inhalt und Umfang der Weisungsbefugnis sind SaaS-spezifisch zu konkretisieren (siehe unten)
Klarstellung: Kunde bleibt für Rechtmäßigkeit der Verarbeitung verantwortlich
ggf. Freistellungspflicht des Kunden, falls Betroffene gegen SaaS-Anbieter mit der Behauptung vorgehen, personenbezogene Daten würden rechtswidrig verarbeitet oder genutzt

§ 11 (2) 2 Nr. 1 BDSG: Gegenstand und Dauer des Auftrags

Gegenstand: "Software as a Service" Hosting, Wartung, Betrieb und zur Verfügungstellung zum Online-Abruf einer bezeichneten Anwendung
ggf. Beratung (Migration, Parametrisierung) und Anpassung (Customization)
Dauer: Laufzeit des Vertrages, ggf. erweitert um Testphase/Migrationsphase

§ 11 (2) 2 Nr. 2 BDSG: Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen

Art der Daten und Kreis der Betroffenen:
- allgemein umschreiben; verhindern, dass bei kleineren Service-Änderungen Vertragsanpassungen nötig sind
- ggf. Klarstellung, ob besondere Arten von Daten umfasst werden/ausgeschlossen sind
- ggf. Hinweis auf Verantwortung des Kunden für Daten, die dem Berufsgeheimnis unterliegen, § 203 StGB (z.B. Rechtsanwälte, Ärzte, bestimmte Versicherungen)
Umfang, Art und Zweck der Datenverwendung:
- Allgemeiner Verweis auf Zweck der Anwendung, Funktionsbeschreibung, Zugriffsberechtigungssystem
- Detailliertere Darstellung bei
  - besonderen Arten von Daten im Sinne des § 3 (9) BDSG (z.B. gesundheitsbezogene Daten)
  - Daten/Verarbeitungsschritten, die für den Kunden unternehmenskritisch sind (z.B. Finanzdaten)
  - Daten/Verarbeitungsschritten, die ein besonders hohes Risiko für Betroffene beinhalten (z.B. Export von Daten, externe Schnittstellen/APIs)
- Datenempfänger festlegen (z.B. Zugriff durch Drittanbieter, die optionale Zusatzmodule für den Service bereitstellen; andere Service-Anbieter bei SOA; Subunternehmer)
- Speicherorte/Serverstandorte positiv festlegen (Whitelist, z.B. nur EU/EWR) oder ausschließen (Blacklist)

§ 11 (2) 2 Nr. 3 BDSG: Nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen

Anbieterspezifische Regelung (Sicherheitskonzept) in gesonderter Anlage (für SaaS besonders relevante Aspekte werden noch in einer gesonderten Übersicht zur Verfügung gestellt)
Sicherheitskonzept sollte die in der Anlage zu § 9 BDSG genannten Punkte abbilden
ggf. ergänzender Verweis auf IT-Sicherheitsstandards

§ 11 (2) 2 Nr. 4 BDSG: Berichtigung, Löschung und Sperrung von Daten

Berichtigung, Löschung und Sperrung der Daten durch den Auftraggeber erfolgt in der Regel im Rahmen der allgemeinen Bedienung/Nutzung der Anwendung durch den Kunden
Pflichtverletzung / Zahlungsverzug des Kunden
- Sperrung oder Löschung von Daten nur nach rechtzeitiger vorheriger schriftlicher Androhung
- Löschung nur wenn Kunde Daten zurückerhalten konnte oder wenn bei Treuhänder hinterlegt wird

§ 11 (2) 2 Nr. 5 BDSG: Nach § 11 (4) BDSG bestehenden Pflichten des Auftragnehmers, insbesondere von ihm vorzunehmenden Kontrollen

Pflicht des Auftraggebers zur Verpflichtung auf das Datengeheimnis, § 5 BDSG, zur Sicherstellung von technischen und organisatorischen Maßnahmen nach § 9 BDSG und zur Beachtung von Weisungen.
Kontrolle der technischen und organisatorischen Maßnahmen ggf. durch Vorlage aktueller Prüfberichte unabhängiger Organisationen vereinheitlichen

§ 11 (2) 2 Nr. 6 BDSG: Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen

Cloud Umgebungen und multi-tenancy Modell verlangen flexible Einschaltung von Subunternehmern durch Anbieter
Typische Subunternehmer:
- Konzerngesellschaften des Anbieters, die die eigentliche technische Leistung erbringen
- externe Infrastruktur- und Plattformanbieter, auf die die Anwendung aufsetzt (Speicherplatz, Rechnerinstanzen, Datenbankanbieter, Anwendungshosting-Umgebungen)
- Bei Prüfungs- und Wartungstätigkeiten (§ 11 Abs. 5) genügt unter Umständen abgeschwächte Regelung zur ADV.
Einschaltung ohne Einzelzustimmung des Kunden zulässig, wenn folgende Voraussetzungen kumulativ erfüllt sind:
- Anbieter schließt mit Subunternehmer ADV, der das gleiche Schutzniveau sicherstellt, wie der Vertrag mit dem Kunden, insbesondere bzgl. technischer und organisatorischer Sicherheits-Maßnahmen, ggf. Eckpunkte für Sub-ADV festlegen
- Ausübung der Kontrollrechte durch Kunde ist gegenüber Subunternehmer grundsätzlich möglich (zumindest über Anbieter)
- Auf Anfrage des Kunden werden diesem Subunternehmer und datenschutz-wesentliche Vertragsbedingungen des Sub-ADV mitgeteilt
- Bei Subunternehmern außerhalb der EU/des EWR wird ein ausreichendes Datenschutzniveau sichergestellt
  - ggf. hier Mitteilung oder Vorabzustimmung des Kunden nötig
  - ggf. Einschränkung / Ausschluss bestimmter Länder
- Bei Service-orientierer Architektur (SOA): Klarstellen, dass Services anderer Anbieter, mit denen die SaaS Anwendung zusammenarbeitet, keine Subunternehmer des Anbieters sind

§ 11 (2) 2 Nr. 7 BDSG: Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers

Multi-Tenancy Modell erfordert, dass Anbieter nicht durch ständige Kontrollen der Vielzahl von Kunden unangemessen belastet wird
Grundsätzliches Kontrollrecht des Kunden bzgl. Einhaltung der technischen und organisatorischen Schutzmaßnahmen vor Ort, außer Anbieter legt regelmäßig geeignete Testate unabhängiger Dritter oder des internen Datenschutzbeauftragten vor
Recht zur anlassbezogenen Einzelprüfung bleibt unberührt (Kostentragungspflicht regeln)
Unterstützung des Kunden bei dessen Dokumenationspflicht, § 11 (2) 3 BDSG

§ 11 (2) 2 Nr. 8 BDSG: Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen

Meldepflicht darf durch schwammige Formulierungen nicht ausufern:
- Nur Verstöße meldepflichtig, nicht "Verdacht" oder "Unregelmäßigkeiten"
- Nur Verstöße meldepflichtig, bei denen personenbezogene Daten des konkreten Kunden betroffen waren.
- Verstöße "gegen die im Auftrag getroffenen Festlegungen" nur meldepflichtig, wenn Bagatellgrenze überschritten (konkretes Risiko)
Mitteilungs- und Unterstützungspflicht jedenfalls dann, wenn die Voraussetzungen der gesetzlichen Meldepflicht erfüllt vorliegen § 42a BDSG (Security Breach Notification Obligation).

§ 11 (2) 2 Nr. 9 BDSG: Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält

Allgemein: Aufgrund multi-tenancy Architektur klare Eingrenzung der Weisungsbefugnisse des Kunden nötig, da Einzelweisungen verschiedener Kunden unter Umständen nicht oder nur mit unverhältnismäßigem Aufwand abbildbar sind.
Einschränkung:
- Ausübung der Weisungsbefugnisse durch den Kunden erfolgt grundsätzlich im Rahmen der Parametrisierung/Bedienung/Nutzung der Anwendung
- Darüber hinausgehende Weisungsbefugnisse ausdrücklich und abschließend regeln (z.B. im Rahmen der Test-, Migrations- oder Parametrisierungsphase)
- Weisungsfreiheit: Berechtigung des Anbieters, Dienst angemessenem fortzuentwickeln und anzupassen, ggf. Recht des Kunden zur Kündigung bei ihn benachteiligenden Änderungen
Bei Weisungen, deren Umsetzung aufgrund der multi-tenancy Architektur nicht möglich oder nur mit unverhältnismäßigen Aufwand möglich sind, Aufwandsentschädigungspflicht des Kunden oder Kündigungsrecht des Anbieters
Hinweispflicht des Anbieters bei vermeintlich rechtswidrigen Weisungen, § 11 (3) 2 BDSG

§ 11 (2) 2 Nr. 10 BDSG: Rückgabe überlassener Datenträger und Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

Regelung zu Zeitpunkt, Form, Unterstützungspflichten und Kosten der Rückgabe personenbezogener Daten
- Zeitpunkt: Live-Daten spätestens zum Zeitpunkt des Vertragsendes, ggf. schon vorab für Backup-, Migrations- oder Testzwecke
- Form: Format und Struktur der Daten, Art des Datenträgers, Schnittstellenbeschreibung festlegen
- Unterstützungspflichten: bei Migration zu anderen Anbietern oder In-Housing regeln
- Kosten: Offenlegung etwaig entstehender Kosten der Datenrückgabe
Bestätigung der Löschung der Daten bei Anbieter und ggf. Subunternehmern

BMI-Eckpunktepapier zum Beschäftigtendatenschutz

admin — Fri, 09 Apr 2010 14:51:46 +0000

Bitte beachten Sie die UPDATES am Ende des Beitrages.

Das Innenministerium hat am 31.März 2010 ein Eckpunktepapier zur geplanten Regelung für den Beschäftigtendatenschutz veröffentlicht.

Bereits im Koalitionsvertrag hatten Union und FDP vereinbart, den Arbeitnehmerdatenschutz in einem eigenen Kapitel im BDSG auszugestalten. Damit soll die oft uneinheitliche und lückenhafte Rechtsprechung der Arbeitsgerichte kodifiziert werden. Grundlegende Neuerung dürften indes nicht zu erwarten sein aber ein Plus an Rechtsklarheit und -sicherheit. Vorallem sollen "praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden."

Ziel einer gesetzlichen Regelung ist: "Durch umfassende, allgemeingültige Regelungen für den Datenschutz am Arbeitsplatz soll die Rechtslage für Arbeitgeber und Beschäftigte gleichermaßen deutlich gemacht und insgesamt mehr Rechtssicherheit erreicht werden."

Eckpunkte des geplante Beschäftigungsdatenschutzes sind:

* Datenerhebung im Einstellungsverfahren: Regelung des Fragerechts des Arbeitgebers.
* Gesundheitliche Untersuchungen: Nur zulässig, wenn für die konkret vorgesehene Tätigkeit erforderlich.
* Korruptionsbekämpfung/Durchsetzung von Compliance-Anforderungen: Vorhanden Daten dürfen im Rahmen des Verhältnismäßigkeitsgrundsatzes genutzt, neue Daten nur bei Verdacht erhoben werden.
* Videoüberwachung: Nur wenn zur Wahrung wichtiger betrieblicher Interessen erforderlich und verhältnismäßig.
* Ortungssysteme: Nur während der Arbeitszeit zum Zwecke der Sicherheit oder Einsatz-Koordinierung und bei positiver Interessensabwägung.
* Biometrische Verfahren: Nur zur Autorisierung und Authentifikation und soweit erforderlich und verhältnismäßig.
* Nutzung von Telefon, E-Mail und Internet: Kontrolle im erforderlichen Maße zum technischen Betrieb, zur Abrechnung und Korruptionsbekämpfung/Compliance
* Kollektivrechtliche Vereinbarungen: Bilden wie bisher eigenständige Rechtsgrundlage.
* Beteiligungsrechte, insbesondere Mitbestimmungsrechte der Interessenvertretungen: Bleiben unangetastet.
* Einwilligung: Im Arbeitsverhältnis nur noch in ausdrücklich geregelten Fällen möglich (!)
* Ausscheiden aus dem Beschäftigungsverhältnis: Nutzung von Beschäftigtendaten für Buchhaltung oder zu Steuerzwecken in erforderlichen Umfang auch nach Ausscheiden zulässig.

Sie haben Fragen zum Beschäftigtendatenschutz? Dann kontaktieren Sie uns

Download Eckpunktepapier beim BMI - PDF

UPDATE (19. Mai 2010): Einen interner Entwurf des Bundesministeriums für ein Gesetz zur Regelung des Beschäftigtendatenschutzes können Sie hier herunterladen.

UPDATE (9. Juni 2010): Es liegt nunmehr der offizielle Referentenentwurf des Innenministeriums vom 28.5.2010 vor.

CloudSlam 2010 - Präsentation "Data Protection and Cloud Computing"

admin — Thu, 25 Mar 2010 11:16:49 +0000

Dieser Beitrag enthält ergänzende Informationen zu Thomas Helbing's Präsentation "Data Protection Law Requirements to Cloud Computing Agreements in the European Union" vom 24 März 2010 auf der CloudSlam 2010 Conference.

Sie können die Folien hier herunterladen (PDF - 1,26 MB).

Wenn Sie das Video der vollständigen Präsentation sehen möchten, kontaktieren Sie mich bitte.

The presentation gives an overview over the requirements of the EU Data Protection Directive for cloud computing services with examples from national laws, in particular Germany. No legal background knowledge is required.

Links:

Slide 3e "Data Export to Third Countries - Binding Corporate Rules"

Neue Regeln für Verträge mit Datenverarbeitern außerhalb der EU

admin — Mon, 22 Feb 2010 18:22:22 +0000

Der Beiträg ist in verkürzter Form in der Fachzeitschrift "Risk, Compliance & Audit" (Heft 3/2010, Seiten 29-33) erschienen.

Am 5. Februar 2010 hat die EU-Kommission eine neue Fassung der "Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern" beschlossen. Standardvertragsklauseln sind ein häufig genutztes Instrument, um datenschutzrechtliche Anforderungen umzusetzen, wenn personenbezogene Daten in einem Land außerhalb der EU und des Europäischen Wirtschaftsraumes (EWR) genutzt oder verarbeitet werden. Am 15. Mai 2010 treten die bisher gültigen Standardklauseln außer Kraft.

Die Entscheidung ist für alle Unternehmen, die Lieferanten, Kunden oder Konzerngesellschaften außerhalb der EU Daten zur Verfügung stellen relevant. Vor allem Verträge zu Outsourcing, Cloud Computing, Software as a Service oder ASP mit Anbietern außerhalb der EU sind betroffen (z.B. in Bezug auf CRM-, ERP- oder Personalverwaltungssysteme).

In diesem Beitrag erläutern wir Hintergrund und Anwendungsbereich der Standardvertragsklauseln, was sich mit der Neufassung geändert hat, welche Verträge betroffen sind und wie diese umgestellt werden müssen.

UPDATE 21. Juli 2010: Ich habe nunmehr das jetzt erschienen Fragen-Antworten Dokument der Artikel 29 Arbeitsgruppe zu den neuen Standardvertragsklauseln in den Beitrag integriert.

Inhaltsüberblick:

Wofür werden die Standardvertragsklauseln benötigt?
Welche Änderungen bringen die neuen Standardvertragsklauseln?
Ab wann gelten die neuen Klauseln und müssen alte Verträge angepasst werden?
Was gilt für die Einschaltung von Unterauftragnehmern durch den Datenimporteur?
Welche unternehmensinternen Schritte empfehlen Sie?

1. Wofür werden die Standardvertragsklauseln benötigt?

Wenn Sie mit dem Konzept der Standardvertragsklauseln bereits vertraut sind und Sie nur die Klausel-Änderungen interessieren, können Sie den folgenden Abschnitt überspringen.

a) Sicherstellung eines "angemessenen Datenschutzniveaus"

Wenn ein Unternehmen mit Sitz in Deutschland oder einem anderen EU-Mitgliedsland (Daten-Exporteur) Kunden-, Mitarbeiter- oder andere personenbezogene Daten von einem Unternehmen außerhalb der EU und des EWR (Daten-Importeur) speichern, nutzen oder verarbeiten lässt, muss der Exporteur ein "angemessenes Datenschutzniveau" beim Importeur sicherstellen. Dies gilt auch, wenn Exporteur und Importeur demselben Konzern angehören oder der Exporteur nur Zugriff auf Daten des Importeurs erhält.

Beispiel Konzern: Daten deutscher Mitarbeiter werden in einer zentralen Datenbank bei der Konzernmutter in den USA gespeichert.

Beispiel CRM: Ein online-basiertes Kundenverwaltungssystem (CRM) wird verwendet, dessen Betreiber außerhalb der EU sitzt.

Beispiel Outsourcing: Ein Rechenzentrum wurde nach Indien ausgelagert.

Die Sicherstellung eines "angemessenes Datenschutzniveaus" ist in § 4b Absatz 2 Satz 2 des Bundesdatenschutzgesetzes (BDSG) geregelt, der den Artikel 25 Abs. 1 der EU-Datenschutzrichtlinie 95/46/EG umsetzt. Ohne "angemessenes Datenschutzniveau" dürfen personenbezogene Daten nicht übermittelt bzw. kein Zugriff darauf gewährt werden. Verstöße können mit bis zu € 300.000 Geldbuße geahndet werden, §§ 43 (2) Nr. 1, (3) BDSG.

Schließen der Datenexporteur in der EU und der Datenimporteur außerhalb der EU/EWR einen Vertrag mit den Standardvertragsklauseln der EU-Kommission, so ist damit automatisch ein angemessenes Datenschutzniveau beim Importeur sichergestellt.

b) Zu unterscheiden: controller-processor und controller-controller Verhältnis

Bei den Standardvertragsklauseln sind zwei Gruppen zu unterscheiden: Die Klauseln für die Übermittlung von Daten

a) an Auftragsdatenverarbeiter (controller-processor Verhältnisse) und
b) an verantwortliche Stellen (controller-controller Verhältnisse).

Welche Standardklauseln zu verwenden sind, hängt von der Rolle des Datenimporteurs ab. Verarbeitet er die Daten nur im Auftrag und nach den Weisungen des Datenexporteurs liegt eine Auftragsdatenverarbeitung (controller-processor Verhältnis) vor. Hat der Datenempfänger im Ausland dagegen die Befugnis, zumindest zum Teil mitzuentscheiden, für welchen Zweck und wie die Daten verarbeitet werden, so ist er neben dem Exporteur selbst eine verantwortliche Stelle (controller-controller Verhältnis). Die Abgrenzung beider Konstellationen kann sehr schwierig sein und erfordert eine umfassende Berücksichtigung der konkreten Umstände.

Beispiel Online-CRM: Ein controller-processor Verhältnis liegt typischerweise vor, wenn Kundendaten in einem online-basierten Kundenverwaltungssystem (CRM - Customer Relation Management) gespeichert werden, das in den USA betrieben wird.

Beispiel Archivierung: Auch Verträge mit Archivierungsdienstleistern außerhalb der EU und des EWR sind häufig Auftragsdatenverarbeitungsverhältnisse.

Beispiel Recruiting-Auslagerung: Sind dagegen ganze Aufgaben und Abteilungen ausgelagert, z.B. das HR-Recruiting, so dürfte bereits ein controller-controller Verhältnis gegeben sein.

Es ist auch möglich, dass der Empfänger in Bezug auf bestimmte Daten Auftragsdatenverarbeiter (processor) ist und in Bezug auf andere Daten selbst eine verantwortliche Stelle (controller).

Wichtig im Zusammenhang mit der jüngsten Entscheidung der EU-Kommission: Bei den jetzt geänderten Klauseln geht es ausschließlich um das Auftragsdatenverarbeitungsverhältnis (controller-processor).

c) Einsatz der Standardvertragsklauseln

Die Standardvertragsklauseln werden als gesonderte Vereinbarung neben dem zu Grunde liegenden Vertrag über die Erbringung der eigentlichen Leistung geschlossen. Sie regeln Rechte und Pflichten der Parteien beim Umgang mit personenbezogenen Daten und müssen unverändert übernommen werden. Im Anhang zu den Klauseln befinden sich zwei Formulare, in denen Einzelheiten zu den Parteien, den exportierten Daten, der Datenverarbeitung und den Sicherheitsvorkehrungen beim Importeur einzutragen sind.

Wer die Klauseln verwendet, darf nicht verkennen, dass sich aus dem BDSG noch weitere datenschutzrechtliche Anforderungen ergeben können: Die Klauseln sind also kein datenschutzrechtlicher "Freifahrtsschein".

Beispiel Pharmakunden: In dem CRM-System eines US-Anbieters werden Daten von Endkunden medizinischer Geräte einer deutschen Pharmafirma (Insulinspritzen) gespeichert. Es liegen sensible Daten vor, für die spezielle Anforderungen des BDSG zu beachten sind.

Zudem muss der zu Grunde liegende Vertrag auf die Nutzung der Standardklauseln hin geprüft und entsprechend abgestimmt werden; vor einem "blinden" Abzeichnen der Standardvertragsklauseln kann nur gewarnt werden.

Beispiel Haftungsklausel: Der zu Grunde liegende Vertrag (z.B. über die Erbringung von IT-Dienstleistungen) enthält Regelungen zur Haftung oder der Einschaltung von Subunternehmern, die so ausgelegt werden könnten, dass sie die Standardvertragsklauseln unzulässig abändern.

d) Alternativen zu den Standardvertragsklauseln

Die Standardvertragsklauseln sind ein wichtiges aber nicht das einzige Instrument, um ein "angemessenes Datenschutzniveau" beim Datenempfänger außerhalb der EU bzw. des EWG sicherzustellen:

Für Datenimporteure in den USA besteht die Möglichkeit, sich nach den Safe Harbor Grundsätzen zu zertifizieren. Unternehmen, die sich diesen Grundsätzen unterwerfen, haben hierdurch ein ausreichendes Datenschutzniveau sichergestellt. Dies hat allerdings zur Folge, dass die Datenimporteure der Aufsicht des US Department of Commerce (US Handelsministeriums) unterliegen, was häufig nicht gewünscht ist.

Ein ausreichendes Datenschutzniveau stellen auch so genannte Binding Corporate Rules (verbindliche Unternehmensrichtlinien) sicher. Dabei legt sich eine Unternehmensgruppe selbst Regeln in Bezug auf den Umgang mit personenbezogenen Daten auf, an die es sich rechtlich bindet. Dadurch wird bei allen Unternehmen der Gruppe ein angemessenes Datenschutzniveau sichergestellt. Mit Binding Corporate Rules lassen sich entsprechend nur Datentransfers innerhalb der Unternehmensgruppe erleichtern, nicht aber Übermittlungen an gruppenfremde Unternehmen. Zudem ist die Implementierung dieser verbindlichen Unternehmensregelungen trotz einiger Vereinfachungen in jüngster Vergangenheit noch relativ komplex.

Schließlich kann ein Transfer von Daten in ein nicht EU/EWR Land auch erfolgen, wenn die betroffenen Personen (z.B. Kunden oder Mitarbeiter) ausdrücklich und freiwillig in den Transfer in ein "unsicheres" Drittland eingewilligt haben. Wegen der strengen Anforderungen an eine rechtsverbindliche Einwilligung und die jederzeitige Widerrufsmöglichkeit ist dieses Instrument aber häufig nicht praktikabel.

2. Welche Änderungen bringen die neuen Standardvertragsklauseln?

Die neuen Klauseln erlauben dem Datenimporteur im Ausland unter bestimmten Voraussetzungen Unterauftragnehmer (sub-processors) mit der Verarbeitung der übermittelten Daten zu beauftragen. Die alten Klauseln hatten diese Möglichkeit nicht vorgesehen, obwohl für die Unterauftragsverarbeitung eine wirtschaftliche Notwendigkeit bestand und sie in der Praxis bereits weit verbreitet ist.

Beispiel Subunternehmer CRM-Betreiber: Ein Unternehmen mit Sitz in den USA (Importeur) bietet ein CRM-System an, das Kunden aus Deutschland (Exporteur) über das Internet nutzen. Der US-Anbieter schaltet beim Betrieb des Systems seinerseits Drittfirmen ein, zum Beispiel Wartungsfirmen, die defekte Festplatten in Servern austauschen, Datenbanken administrieren oder Speicherplatz und Rechenkapazität zur Verfügung stellen. All diese Lieferanten sind Unterauftragsdatenverarbeiter (sub-processor) des Importeurs, die von den alten Standardvertragsklausen nicht gedeckt waren.

Beispiel Software-Einkauf durch Konzernmutter:
Die Konzernmutter in den USA (Importeur) bezieht von einem Softwareanbieter zentral ein Personalverwaltungssystem, in das auch die Mitarbeiterdaten der deutschen Tochtergesellschaft (Exporteur) gelangen. Die Mutter ist Auftragsdatenverarbeiterin der deutschen Tochter und der Softwareanbieter ist Unterauftragsdatenverarbeiter (sub-processor) der Muttergesellschaft.

Wie die Artikel 29 Arbeitsgruppe in ihrem Fragen-Antworten Katalog klargestellt hat, liegt kein Fall der Unterauftragsdatenverarbeitung nach den neuen Klauseln vor, wenn der Auftragsdatenverarbeiter (Importeur) selbst in der EU sitzt und nur der Unterauftragsdatenverarbeiter außerhalb der EU. In diesem Falle ist ein Standardvertrag zwischen Auftraggeber in der EU und dem Unterauftragnehmer im Drittland zu schließen.

Weitere Änderung in den Standardvertragsklauseln: Die von vielen Unternehmen als unliebsam empfundene Schiedsklausel wurde gestrichen.

3. Ab wann gelten die neuen Klauseln und müssen alte Verträge angepasst werden?

Die Entscheidung der EU Kommission zu den neuen Standardvertragsklauseln tritt am 15. Mai 2010 in Kraft. Die alten Standardklauseln werden mit Wirkung zum selben Tag aufgehoben.

Verträge die nach dem 15. Mai 2010 geschlossen werden, dürfen damit nur noch die neuen Klauseln verwenden. Es besteht - anders als bei den controller-controller Verhältnissen - keine Wahlmöglichkeit zwischen zwei Klauselwerken.

Für Verträge die vor dem 15. Mai 2010 mit den alten Standardklauseln geschlossen wurden (Altverträge) sieht Artikel 7 Ziffer 2 der Kommissionsentscheidung 2010/87/EU eine Übergangsregelung vor: Altverträge gelten über den 15. Mai 2010 hinweg fort, wenn und solange folgende zwei Voraussetzungen erfüllt sind:

Es werden weiterhin Daten übermittelt und
die Übermittlung und Verarbeitung der Daten durch den Importeur bleibt unverändert.

Nach dem Fragen-Antworten Katalog der Artikel 29 Arbeitsgruppe ist dies immer der Fall, wenn der Annex 1 zu den Standardvertragsklauseln geändert werden müsste.

Zudem gilt: Sobald der Importeur Unterauftragnehmer für die Datenverarbeitung einschaltet sind die neuen Standardklauseln zu verwenden. Letzteres gilt auch, wenn bereits Subunternehmer eingeschaltet wurden, was in der Praxis durchaus vorgekommen sein dürfte.

Beispiel Änderung der Datenverarbeitung: Unter Verträgen, die vor dem 15. Mai 2010 mit den alten Klauseln geschlossen wurden werden jetzt

neue Arten von Daten übertragen (neben Kundendaten auch Lieferantendaten)
zusätzliche Datenfelder übertragen (neben Stamm- und Gehaltsdaten der Mitarbeiter werden auch Informationen über deren Qualifikation übermittelt)
Daten für weitergehende Zwecke verwendet (statt bloßer Verwaltung von Kundendaten soll zukünftig auch eine Einteilung in Segmente erfolgen)

Beispiel Rahmenvertrag: Die Parteien haben einen Rahmenvertrag geschlossen, unter dem unregelmäßig einzelne Aufträge erteilt werden, es werden zum Beispiel paketweise Adressdaten übermittelt, die dann vom ausländischen Unternehmen für Mailings oder Umfragen verarbeitet werden. Da keine fortlaufende Datenübermittlung stattfindet ist der Rahmenvertrag für Aufträge nach dem 15. Mai 2010 auf die neuen Klauseln umzustellen.

Gemäß der Kommissions-Entscheidung entfällt die Wirkung von Altverträgen, wenn die Datenübermittlung unterbrochen oder geändert fortgesetzt wird. Die Entscheidung über eine Änderung oder Unterbrechung der Datenübermittlung erfolgt unternehmensintern oft durch Fachabteilungen. Hier besteht die Gefahr, dass die für den Vertrag zuständige IT-/Rechts- oder Compliance-Abteilung nicht oder nicht rechtzeitig die Verträge anpasst. Deshalb empfiehlt es sich, alle Altverträge schrittweise anzupassen, sofern nicht absehbar ist, dass die Datenverarbeitung unverändert und ununterbrochen fortläuft.

Eine besondere Konstellation liegt vor, wenn ein Vertrag noch bis zum 15. Mai 2010 abgeschlossen werden soll. Nach dem Wortlaut der Kommissions-Entscheidung gelten die neuen Klauseln erst ab dem 15. Mai 2010. Um zu verhindern, dass bei einer Änderung oder Unterbrechung der Datenverarbeitung nach dem 15. Mai 2010 die Standardvertragsklauseln ausgetauscht werden müssen, empfiehlt sich eine vertragliche Konstruktion, wonach ab dem 15. Mai 2010 automatisch die neuen Standardklauseln Anwendung finden. Will der Vertragspartner Unterauftragnehmer einschalten, sollte mit der zuständigen Datenschutzbehörde Rücksprache gehalten werden, ob bereits vor dem 15. Mai 2010 die neuen Standardklauseln genutzt werden dürfen. Da deren Schutzniveau nicht niedriger ist als das der Vorgängerregelungen spricht nichts gegen eine solche Vorwegnahme und die Datenschutzbehörden sind grundsätzlich befugt, die neuen Klauseln schon jetzt zu akzeptieren.

4. Was gilt für die Einschaltung von Unterauftragnehmern durch den Datenimporteur?

Hauptgrund für die Überarbeitung der Klauseln war, dass die Datenimporteure außerhalb der EU und des EWR die Möglichkeit erhalten sollten, ihrerseits Subunternehmer einzuschalten.

So hatten die deutschen Datenschutzbehörden zum Beispiel bei der Einschaltung eines Subunternehmers in einem Drittland durch den Datenimporteur in der Regel den Abschluss eines direkten Vertrages zwischen Datenexporteur und Subunternehmer gefordert (vgl. die Handreichung des Düsseldorfer Kreises zu Fallgruppen der internationalen Auftragsdatenverarbeitung vom 19.4.2007).

Die neuen Standardvertragsklauseln sehen hierfür nun in Klausel 11 vor, dass der Datenimporteur die Datenverarbeitung an Unterauftragnehmer (sub-processor) vergeben darf, wenn zwei Voraussetzungen erfüllt sind:

Einwilligung: Der Datenexporteur hat vorher schriftlich in die Unterauftragsvergabe eingewilligt, und
Weiterreichen der Vertragsregelungen: Datenimporteur und Unterauftragnehmer schließen einen schriftlichen Vertrag, der dem Unterauftragnehmer die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Standardvertragsklauseln erfüllen muss; die Bedingungen der Auftragsdatenverarbeitung müssen also an den Unterauftragnehmer weitergereicht werden. Laut Fußnote in den Standardklauseln soll dieses Weiterreichen auch dadurch möglich sein, dass der Unterauftragnehmer auf dem Vertrag zwischen Datenimporteur und -exporteur "mitunterzeichnet". Wie noch erläutert wird, hat dieses scheinbar einfache Verfahren aber einige Nachteile.

Bei der Einwilligung des Exporteurs in den Unterauftrag (erste Voraussetzung) stellt sich die Frage, wie konkret diese Zustimmung sein muss. Der Unterauftragnehmer wird in der Regel mit Firmenname, Sitz und Anschrift bezeichnet. Interessant ist jedoch, inwieweit Generaleinwilligungen zulässig sind, bei denen der Unterauftragnehmer nicht individuell genannt, sondern gruppenmäßig bestimmt wird. Vor allem Datenimporteure, die einem Konzern angehören haben ein Interesse, Unteraufträge an beliebige Konzernunternehmen zu erteilen, ohne diese alle namentlich nennen zu müssen oder bei Änderungen der Konzernstruktur alle Kunden um eine Einwilligung zu bitten., Wenn der Kreis möglicher Unterauftragnehmer hinreichend eingegrenzt wird, bestehen gegen Generaleinwilligungen keine Bedenken. Entsprechende Regelungen sind bei Auftragsdatenverarbeitungen nach § 11 BDSG üblich und auch der Schutz der Daten ist durch die zwingende Weiterreichung der Vertragsregelungen an die Subunternehmer sichergestellt. Mittlerweile hat auch die Artikel 29 Arbeitsgruppe in ihrem Fragen-Antworten Katalog klargestellt, dass auch Generaleinwilligungen möglich sind.

Problematisch könnten allenfalls "Freibriefe" sein, die eine Unterauftragsvergabe an beliebige Unternehmen erlauben, da das Einwilligungserfordernis so als unterlaufen betrachtet werden könnte. In diesem Falle sollte eine sachliche Einschränkung erfolgen, wonach nur ein bestimmter Teil der Daten oder nur einzelne Verarbeitungsschritte an beliebige Unterauftragnehmer weitergereicht werden dürfen. So könnte die Unterauftragsverarbeitung zum Beispiel darauf beschränkt werden, dass Dritte dem Datenimporteur Wartungsleistungen von Hardware zur Verfügung stellen oder Archivierungsleistungen erbringen. Eine sachliche Einschränkung der Unterauftragsvergabe kann auch im Interesse des Subunternehmers sein, der so seine Haftung nach den Standardklauseln auf die konkret vorgenommenen Verarbeitungen eingrenzt. In jedem Fall muss natürlich die zweite Voraussetzung erfüllt sein, und es müssen die Standardvertragsklauseln an den Subunternehmer weitergereicht werden.

Generaleinwilligungen oder inhaltliche Beschränkungen der Unterauftragsvergabe sind über ein einfaches Mitunterzeichnen des Unterauftragnehmers nicht möglich. Sie bedürfen einer individuellen Einwilligungsregelung, die gesondert von dem Standardvertragsklauseln erfolgen muss.

Weiterer Nachteil des "Mitunterzeichnens" durch den Datenexporteur ist die mangelnde Übersichtlichkeit: Der Unterauftragnehmer muss sich aus dem Vertrag zwischen Exporteur und Importeur die für ihn relevanten Klauseln heraussuchen. Unklar bleibt auch inwieweit sich der Subunternehmer neben dem Datenimporteur auch unmittelbar gegenüber dem Datenexporteur verpflichtet. Schließlich dürften die in den Anhängen zu den Standardklauseln aufgeführten Sicherheitsmaßnahmen, die Exporteur und Importeur vereinbart haben, auf den Subunternehmer oft nicht passen. Wenn Subunternehmer ihrerseits Subunternehmer einschalten, was nach den Standardklauseln ausdrücklich zulässig ist, könnte die Liste der "Mitunterzeichner" ausufern. Insofern wird man von dem "Mitunterzeichnen" des Subunternehmers häufig absehen müssen.

Hinzuweisen im Zusammenhang mit der Subunternehmerregelung ist noch, dass gemäß Klausel 11 Absatz 4 der neuen Standardvertragsklauseln der Datenexporteur eine jahresaktuelle Liste aller Verträge über die Unterauftragsdatenverarbeitung führen und für die Datenschutzbehörden bereithalten muss. Die Kopien der entsprechenden Verträge mit den Subunternehmern hat der Datenimporteur dem -exporteur nach Klausel 5 Buchstabe j unverzüglich zuzusenden. Ähnlich wie bei § 278 BGB steht der Datenimporteur gegenüber dem Exporteur für die Verarbeitungen seines Subunternehmers ein.

5. Welche unternehmensinternen Schritte empfehlen Sie? Wie können Sie uns unterstützen?

Um die neuen Standardklauseln unternehmensintern umzusetzen, empfiehlt sich folgendes Vorgehen:

bestehende Auftragsdatenverarbeitungs-Verhältnisse mit Unternehmen außerhalb der EU und des EWR identifizieren
zu Grunde liegende Verträge sichten, bewerten und nach Wichtigkeit ordnen
entscheiden, welche Verträge auf die neuen Klauseln umgestellt werden sollen bzw. erstmalig durch Standardvertragsklauseln ergänzt werden müssen
Vertragspartner anschreiben, um Aufnahme neuer Klauseln vorzubereiten bzw. Unterauftragsverhältnisse zu klären
Langfristig: Sicherstellen, dass zukünftige Verträge - soweit erforderlich - die neuen Klauseln enthalten

Wenn Sie Fragen haben, kontaktieren Sie uns. Wir prüfen für Sie Verträge, entwerfen Vertragsklauseln oder Änderungsverträge, setzen uns mit Vertragspartnern in Verbindung oder entwerfen unternehmensinterne Richtlinien.

Gerne senden wir Ihnen unsere kostenlose Vorlage für ein Schreiben an Vertragspartner zu (englisch und deutsch), mit denen Unterauftragsverhältnisse abgefragt bzw. die Umstellung/Einführung der Standardvertragsklauseln vorbereitet werden können.

Link zu diesem Beitrag:
http://www.thomashelbing.com/de/neue-regeln-fuer-vertraege-datenverarbeitern-ausserhalb-eu

Kurzlink:
http://bit.ly/dvpYlF

Geändertes Datenschutzrecht erfordert neue Verträge mit Datenverarbeitern

admin — Fri, 22 Jan 2010 10:53:10 +0000

Datenverarbeitungverträge müssen bestimmte Mindestregelungen beinhalten, so will es das neue Bundesdatenschutzgesetz. So müssen zum Bespiel Klauseln aufgenommen werden über die Benachrichtigung bei Datenschutzverstößen, Prüfrechte, die Einschaltung von Unterauftragnehmern sowie eine Reihe weiterer Punkte.

Genügen Verträge den Anforderungen nicht, drohen Bußgelder von bis zu € 50.000. Bereits bestehende Vereinbarungen sollten überprüft und Unternehmensrichtlinien erarbeitet werden, die sicherstellen, dass zukünftige Verträge den neuen Regeln entsprechen.

Welche Verträge sind betroffen?

Alle Verträge, bei denen Dritte Daten für Ihr Unternehmen speichern, nutzen oder anderweitig verarbeiten, müssen den neuen Anforderungen genügen, insbesondere, wenn diese nach dem 1. September 2009 geschlossen, erneuert oder angepasst wurden. Diese so genannten "Auftragsdatenverarbeitungs-Verhältnisse" liegen immer dann vor, wenn ein Dritter für Ihr Unternehmen im Auftrag personenbezogene Daten verarbeitet oder darauf Zugriff hat.

Personenbezogene Daten sind sämtliche Informationen, die einer bestimmten oder bestimmbaren Person zugeordnet werden können, zum Beispiel Lieferadressen oder bisherige Käufe eines Kunden, Kontaktdaten von Geschäftspartnern oder Mitarbeiterdaten wie Name, Stellenbeschreibung, Lebenslauf oder Gehalt.

Die neuen Regeln betreffen auch konzerninterne Sachverhalte, zum Beispiel wenn eine Muttergesellschaft eine zentrale Kundendatenbank oder ein HR-System betreibt, in dem auch Kundendaten oder Mitarbeiterdaten der Tochtergesellschaften gespeichert sind.

Beispiele für möglicherweise betroffene Vertragsverhältnisse sind:

Verträge über die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung
Verträge mit Archivierungs-Dienstleistern
Verträge mit Call-Centern oder Direktmarketing-Agenturen (Mailings, Newsletter-Versand, Lettershops)
Verträge mit Unternehmen, die HR-Systeme oder Kundenverwaltungs-Systeme (CRM) anbieten
Verträge mit externen Prüfern und Wartungsfirmen
andere Verträge über die zur Verfügungstellung von IT-Ressourcen (z.B. Application Service Providing, Cloud Computing, Software as a Service, Website Hosting, Online Speicherplatz).

Von der Datenverarbeitung im Auftrag sind die Fälle zu unterscheiden, bei denen ein Unternehmen nicht nur die Datenverarbeitung, sondern eine ganze Aufgabe oder Funktion ausgelagert hat, z.B. die Kundenbetreuung. Für diese "Funktionsübertragungen" gelten andere und sogar strengere datenschutzrechtliche Anforderungen. Die Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung kann äußert schwierig sein und nur anhand der konkreten Umstände des Einzelfalles erfolgen.

Was verlangt das neue Recht?

Bereits bis zum 31. August 2009 galten für Auftragsdatenverarbeitungs-Verträge bestimmte Mindestandforderungen. Diese wurden jetzt konkretisiert und ausgeweitet.

Seit dem 1. September 2009 müssen die Parteien in einem schriftlichen Vertrag insbesondere Folgendes festlegen:

Umgang, Art und Zweck der Erhebung, Nutzung und Verarbeitung von Daten durch den Auftragnehmer
den Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer
die vom Auftragnehmer zu treffenden technischen und organisatorischen Maßnahmen zur Datensicherheit
die Korrektur, Löschung und Sperrung von Daten durch den Auftragnehmer
die Befugnis des Auftragnehmers, die Datenverarbeitung an Unterauftragnehmer auszulagern
die Pflicht des Auftragnehmers, einen Datenschutzbeauftragten zu bestellen und seine Mitarbeiter schriftlich auf das Datengeheimnis zu verpflichten
Kontrollrechte des Auftraggebers
Verpflichtungen des Auftragnehmers, dem Auftraggeber Datenschutzverstöße mitzuteilen, und
die Rückgabe und Löschung der Daten beim Auftragnehmer am Ende des Auftrags

Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung durch den Auftragnehmer voll verantwortlich sowie dafür, dass die genannten zwingenden vertraglichen Vereinbarungen getroffen wurden. Darüber hinaus stellt das Bundesdatenschutzgesetz klar, dass der Auftraggeber den Auftragnehmer sorgfältig im Hinblick auf die getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit auszusuchen hat. Auftraggeber müssen ihre Auftragnehmer regelmäßig kontrollieren und das Ergebnis der Kontrollen dokumentieren.

Hat der Auftragnehmer seinen Sitz außerhalb des Europäischen Wirtschaftsraumes (EWR) müssen zusätzliche Maßnahmen getroffen werden, um ein "angemessenes Datenschutzniveau" beim Auftragnehmer sicherzustellen. Hierfür verwenden viele Unternehmen die "EU Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an Datenverarbeiter in Drittländern". Leider decken sich diese nicht voll mit den neuen strengen Anforderungen des deutschen Rechts. So sind etwa die Regelungen zur Mitteilung von Datenschutzverstößen in den EU Standardverträgen nur sehr vage geregelt. Werden von einem Auftragnehmer außerhalb des EWR unternehmenskritische Daten verarbeitet, sollten die Standardverträge deshalb durch zusätzliche vertragliche Regelungen ergänzt werden.

Welche Sanktionen drohen und wie wahrscheinlich sind diese?

Datenschutzbehörden können Unternehmen ohne ausreichende Verträge Bußgelder von bis zu € 50.000 auferlegen. Im Falle eines Datenschutzverstoßes beim Auftragnehmer können Betroffene Schadenersatzansprüche gegen den Auftraggeber geltend machen. Darüber hinaus können sich *Datenschutzbeauftragte** gegenüber ihrem Unternehmen haftbar machen, wenn sie es fahrlässig versäumen, die neuen Regelungen umzusetzen.

Auftragsdatenverarbeitungsverträge werden von Datenschutzbehörden normalerweise nicht ohne Anlass überprüft. Beschwert sich jedoch ein Betroffener, so werden von den Behörden Ermittlungen eingeleitet, in deren Rahmen von Unternehmen auch verlangt werden kann, die angewendeten Verträge vorzulegen. Ermittlungen können auch im Falle von Datenschutzverstößen aufgenommen werden. Da der deutsche Gesetzgeber nunmehr Meldepflichten bei bestimmten Verstößen vorgesehen hat, steigt die Wahrscheinlichkeit, dass Behörden von solchen Verstößen Kenntnis erlangen.

Welche Schritte empfehlen Sie? Wie können Sie helfen?

Kurzfristig:

Auftragdatenverarbeitungs-Verhältnisse erfassen, in denen Ihr Unternehmen Auftraggeber ist und anschließend anhand der folgenden Kriterien gewichten: (i) Menge der Daten (ii) Sensibilität der Daten (iii) Bedeutung der Daten für das Unternehmen, und (iv) Status des Auftragsdatenverarbeiters (Konzernunternehmen, Sitz innerhalb oder außerhalb der EU, Ergebnisse früherer Kontrollen).
Unternehmenskritische Verträge prüfen und soweit erforderlich anpassen.

Mittelfristig:

Unternehmensrichtlinien, Vorlagen und Checklisten erarbeiten, die sicherstellen, dass neue Verträge gesetzeskonform sind.
Verfahren zur regelmäßigen Kontrolle von Datenverarbeitern einführen.
Altverträge schrittweise anpassen (z.B. im Rahmen von Vertragsverlängerungen).

Wir können Sie unterstützen bei der Prüfung bestehender Verträge, dem Entwurf und der Verhandlung erforderlicher Anpassungen sowie der Erarbeitung von internen Richtlinien und Checklisten.

Bitte kontaktieren Sie uns, wenn Sie weitere Informationen oder eine kostenlose Vorlage für eine Richtlinie oder Checkliste wünschen.

Kanzlei Dr. Thomas Helbing - Newsletter Datenschutzrecht

Leitfaden "Cloud Computing - Recht, Datenschutz & Compliance" erschienen

Vortrag CloudConf 2010 Stuttgart - Cloud Computing / SaaS: Verträge und Datenschutz

Datenschutz im Konzern - Einsatz der EU-Standardvertragsklauseln in der Praxis (Teil 3)

1) Auswahl des richtigen Klausel-Sets

2) Praktische Hinweise

3) Sonderkonstellationen

Facebook Social Plugins und Datenschutzrecht

Was sind Facebook Social Plugins?

Wie funktionieren Facebook Social Plugins?

Was muss in die Datenschutzhinweise?

Ist die Einbindung von Facebook Social Plugins zulässig nach Datenschutzrecht?

Datenschutz im Konzern: Internationale Datentransfers (Teil 2)

1) Schritt 2: Auswahl der Instrumente

a) Ausnahmen vom Erfordernis eines angemessenen Datenschutzniveaus

b) Vorstellung der einzelnen Instrumente

i. Standardvertragsklauseln

ii. Binding Corporate Rules

iii. Safe Harbor

c) Vor- und Nachteile der einzelnen Instrumente

i. Standardvertragsklauseln

ii. Binding Corporate Rules

iii. Safe Harbor

iv. Zusammenfassung

Datenschutz im Konzern: Internationale Datentransfers (Teil 1)

1) Einleitung und Überblick: Datentransfers im Konzern

a) Begriff und Beispiele für Datentransfers

b) Rechtliche Zulässigkeit von Datentransfers

i. Erste Stufe: Erlaubnistatbestand

ii. Zweite Stufe: Datenschutzniveau

iii. Unterscheidung

c) Methodisches Vorgehen

2) Schritt 1: Feststellung und Analyse der Datenströme

a) Ermittlung der Datentransfers

b) Analyse der Datentransfers

c) Praktische Herangehensweise

Verschärfte Anforderungen für Datentransfers in die USA unter Safe Harbor

Hintergrund

Handlungsempfehlung

Weitere Informationen

Datenschutz im Konzern: Der Konzerndatenschutzbeauftragte und die Organisation der Datenschutz Compliance

Der betriebliche Datenschutzbeauftragte und Konzerndatenschutz

Der Datenschutzbeauftragte

Fehlendes Konzernprivileg

Herausforderung Konzerndatenschutz

Organisationsformen (Einheitsmodell und Koordinationsmodell)

Vor- und Nachteile der beiden Modelle

Zu berücksichtigende Kriterien

Stellungnahmen von Aufsichtsbehörden

Zusammenfassung und Ausblick

Datenschutz bei Software as a Service (SaaS): Verträge zur Auftragsdatenverarbeitung nach § 11 BDSG praktikabel und gesetzeskonform gestalten

Umsetzung des 10-Punkte Katalogs für die Auftragsdatenverarbeitungs (§ 11 BDSG) bei Software as a Service (SaaS) Verträgen

Abgrenzung von Auftragsdatenverarbeitung und "Funktionsübertragung" bei SaaS

Auslandsbezug

Tabelle: Umsetzung des 10-Punkte Katalogs des § 11 BDSG bei der Auftragsdatenverarbeitung durch SaaS-Anbieter

§ 11 (1), § 11 (3) 1 BDSG: Weisungsgebundenheit

§ 11 (2) 2 Nr. 1 BDSG: Gegenstand und Dauer des Auftrags

§ 11 (2) 2 Nr. 2 BDSG: Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen

§ 11 (2) 2 Nr. 3 BDSG: Nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen

§ 11 (2) 2 Nr. 4 BDSG: Berichtigung, Löschung und Sperrung von Daten

§ 11 (2) 2 Nr. 5 BDSG: Nach § 11 (4) BDSG bestehenden Pflichten des Auftragnehmers, insbesondere von ihm vorzunehmenden Kontrollen

§ 11 (2) 2 Nr. 6 BDSG: Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen

§ 11 (2) 2 Nr. 7 BDSG: Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers

§ 11 (2) 2 Nr. 8 BDSG: Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen

§ 11 (2) 2 Nr. 9 BDSG: Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält

§ 11 (2) 2 Nr. 10 BDSG: Rückgabe überlassener Datenträger und Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

BMI-Eckpunktepapier zum Beschäftigtendatenschutz

CloudSlam 2010 - Präsentation "Data Protection and Cloud Computing"

Links:

Slide 1a "EU Data Protection Directive - Introduction"

Slide 1d "EU Data Protection Directive - Contoller / Processor"

Slide 2a "Contracts and Security Measures - Security Measures"

Slide 3b "Data Export to Third Countries - Standard Contractual Clauses"

Slide 3d "Data Export to Third Countries - Safe Harbor"

Slide 3e "Data Export to Third Countries - Binding Corporate Rules"

Neue Regeln für Verträge mit Datenverarbeitern außerhalb der EU

Inhaltsüberblick:

1. Wofür werden die Standardvertragsklauseln benötigt?

a) Sicherstellung eines "angemessenen Datenschutzniveaus"

b) Zu unterscheiden: controller-processor und controller-controller Verhältnis