Heute möchte ich mal etwas Grundlagenwissen vermitteln. In der von mit gewohnten Art, werde ich mich kurz fassen.
Immmer dann, wenn man eine Datenverarbeitung nicht selber durchführen kann oder möchte, besteht eine starke Vermutung dafür, dass es sich datenschutzrechtlich um Auftragsverarbeitung (AV) handelt, die in Art. 28, 29 DSGVO geregelt ist und besondere Anforderungen an den "Datenexporteur" stellt. Das ist grundsätzlich auch sinnvoll, denn Ihre Kunden erwarten, dass man vernünftig mit ihren Daten umgeht und das auch, wenn Sie dabei Dienstleister einsetzen.
Natürlich gibt es Ausnahmen, die nicht als Auftragsverarbeitung anzusehen sind. Teilweise sind diese Ausnahmen umstritten. Nur weil Namensschilder auf Kleidungsstücken sind, macht das die Reinigung nicht zum Auftragsverarbeiter. Gleiches gilt, wenn eine Reinigungskraft den Papierkorb leert (eine ganz andere Frage ist, ob vertrauliche Infos dort reingehören). Bei Aktenvernichtern oder Papierentsorgern bei vertraulichen Dokumenten ist das schon wieder anders zu beurteilen (klar AV). Ob Steuerberater die Lohnabrechnung machen AVer sind, beurteilen die Aufsichtsbehörden unterschiedlich (solche Fragen können sich aber eigentlich nur Juristen stellen. Eine praktische Relvanz sehe ich da nicht). Abschließend kann man jedenfalls sagen, dass dies alles Ausnahmefälle sind und man ganz stark an Auftragsverarbeitung denke sollte, wenn Dritte die unternehmenseigenen, personenbezogenen Daten im Auftrag verarbeiten.
Nur der Vollständigkeit halber. Es gibt noch zwei Spielformen, die ebenfalls keine Auftragsverarbeitung sind und zwar wenn der Vertragspartner gemeinsamer Verantwortlicher (Datenverarbeiterverarbeiter ) ist. Also man hat einen gemeinsamen Verarbeitungszweck hat, jeder aber (eigen-)verantwortlich bleibt. Hierfür gibt es in Art. 26 DSGVO Regelungen die zu berachten sind. Daran muss man denken, wenn zwischen den Parteien keine Weisungsgebundenheit besteht (vgl. auch Art. 29 DSGVO). Und logisch kann es natürlich noch so sein, dass zwei Parteien die gleichen Daten verarbeiten, aber keinen gemeinsamen Zweck verfolgen und auch keine Weisungsgebundenheit besteht. Solange jedes Unternehmen seine eigene Rechtsgrundlage für die Verarbeitung hat und erfüllt, warum nicht.
Sind wir uns nun darüber einigermaßen im Klaren, dass es sich um Auftragsverarbeitung handelt, dann benötigen wir den Abschluss eines Auftragsverarbeitungsvertrags um die Anforderungen der DSGVO zu erfüllen. Muster gibt es hierfür vielen. Meine Mandanten könne so etwas von mir erhalten, verschiedene Verbände bieten solche Muster aber ebenfalls an:
Gemeinsames Muster zum Gesundheitsdatenschutz
Sitzt der Dienstleister in der EU oder im EWR-Raum haben wir keine Besonderheiten.
Keine Besonderheiten haben wir auch, wenn es für ein Drittland, also die übrigen Länder, einen Angemessenheitsbeschluss gibt. Dann reicht ein "normaler" AV-Vertrag. Aktuelle Angemessenheitsbeschlüsse findet man hier.
Ist das nicht der Fall, sind mit dem Datenimporteur besondere Regelungen zu treffen. Art. 46 DSGVO spricht hier von Datenübermittlungen vorbehaltlich "geeigneter Garantien". Das Mittel der Wahl sind hier üblicherweise die Standardverrtragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO.
Früher gab es verschiedene Varianden neuer und älterer Art. Alles super kompliziert, da das Richtige zu finden. Seit diesem Jahr gibt es nur noch ein Muster für Standardvertragsklauseln (hier und hier). Viel einfacher ist das dadurch aber nicht geworden, da die Varianten durch zu wählenden Module, die man zu- oder abwählt zustande kommen.
Folgende Varianten kommen in Betracht:
Bei Auftragsverarbeitung decken die neuen Standardvertragsklauseln (SCC) für den internationalen Datentransfer die Anforderungen aus Art. 28 DSGVO mit ab. Die Notwendigkeit zum Abschluss eines zusätzlichen Auftragsverarbeitungsvertrags gemäß Art. 28 DS-GVO entfällt daher!
Die neuen SCC erfüllen grundsätzlich die aktuellen Anforderungen besser, z.T sogar die sich aus dem Schrems-II EUGH-Urteil ergebenden Anforderungen.
Was ist denn jetzt das Schrems II-Urteil? Dieses Urteil bezog sich auf die US-Datenverarbeitungen die auf dem damaligen Privacy Shield Abkommen basierten, was VOR dem Urteil bezogen auf die US-Datenverarbeitung ebenfalls eine wirksame Alternative (Datenschutz-Garantie) für eine Übermitlung war. In der Rechtssache Schrems II erklärte der EuGH einerseits das EU-U.S. Privacy Shield Abkommen für nichtig, befand andererseits die alten Standardvertragsklauseln aber für weiterhin gültig. Allerdings setzen die Richter eine hohe Hürde für den Einsatz von Standardvertragsklauseln. So muss der Exporteur sicherstellen, dass die SCC im konkreten Fall von dem Datenimporteur auch faktisch eingehalten werden können und dass bei Bedarf zusätzliche Maßnahmen zum Schutz personenbezogener Daten ergriffen werden. Die neuen Standardvertragsklauseln regeln die Anforderungen der Rechtsprechung des EuGH insbesondere in Klausel 14. Aber auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen und ggf. zusätzliche Schutzmaßnahmen ergreifen bzw., wenn dies nicht gelingt, von der Übermittlung Abstand nehmen. Die SCC sind insofern keine vollständige Lösung der im Schrems II Urteil angesprochen Probleme.
Der Europäische Datenschutzausschuss hat mit den Empfehlungen 01/2020 (Version 2.0 vom 18.06.2021) eine Arbeitshilfe mit Beispielen für zusätzliche Maßnahmen veröffentlicht.
Die bechriebene Problematik wird unter dem Stichwort Transfern Impact Assessment behandelt. Der Datenexporteur und -importeur müssen nach den Klauseln 14 und 15 der neuen EU-Standardvertragsklauseln ein Transfer Impact Assessment durchführen und versichern, dass sie „keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern.". In der Regel wird man dies als einzelner Datenschützer nicht leisten können oder wollen.
Das Transfer Impact Assestment kann man in vier Schritte unterteilen:
1. Beschreiben der geplanten Übertragung
2. Definieren der TIA-Parameter
3. Definieren der bestehenden Sicherheitsvorkehrungen
4. Bewertung des Risikos eines verbotenen rechtmäßigen Zugriffs im Zielland
Das Einzige mir bekannte Muster für ein TIA findet man bei IAAP. Man kann nur hoffen, dass sich das schnell ändert.
Generell ist das TIA keine auf USA beschränket Anforderung, wegen Microsoft, Salesfoce, Amazon usw. stehen die USA Firmen aber klar im Fokus.
Die (Anwalts-)Kosten für die Erfüllung der regulatorischen Anforderungen sollten heutzutage bei Outsourcingentscheidungen in jedem Fall mit berücksichtigt werden.