Neue EU-Standardvertragsklauseln
Die neuen EU-Standardvertragsklauseln zur Übermittlung personenbezogener Daten ins Ausland sind seit dem 15. Mai 2010 gültig. Die EU-Kommission hatte die Neufassung dieser Regeln für die Auftragsdatenverarbeitung im Ausland am 05. Februar 2010 beschlossen.
Kein angemessenes Datenschutzniveau im Ausland
Der § 4 Abs. 2 Satz 2 BDSG ist Teil der nationalen Umsetzung der EU-Datenschutzrichtlinie 95/46/EG. Die Vorschrift besagt, dass eine Übermittlung personenbezogener Daten ins Ausland (außerhalb EU/EWR) nicht erfolgen darf, wenn bei der Stelle im Ausland, an welche die Übermittlung der Daten erfolgen soll, kein angemessenes Datenschutzniveau gewährleistet ist. Ein solches angemessenes Datenschutzniveau besteht nach Auffassung der EU in den allermeisten Ländern außerhalb des EU/EWR-Gebiets nicht. Das gilt auch für den insoweit prominentesten Vertreter, die USA.
Ausnahme: § 4 c BDSG
Eine Ausnahme von diesem Übermittlungsverbot macht § 4 c BDSG, nach dessen Absatz 2 Datenübermittlungen von der Aufsichtsbehörde genehmigt werden können, wenn die verantwortliche Stelle ausreichende Garantien zur Einhaltung eines angemessenen Datenschutzniveaus, insbesondere durch Vertragsklauseln oder verbindliche Unternehmensregelungen, vorweisen können.
Eine Genehmigung der Datenübermittlung durch die Aufsichtsbehörde ist insgesamt entbehrlich, wenn von den Vertragspartnern Klauseln in Bezug auf die Datenübermittlung gewählt werden, die von der EU ausdrücklich als hinreichende Garantien anerkannt sind. Solche Klauseln sind eben die von der Kommission definierten Standardvertragsklauseln, die im Jahre 2001 veröffentlicht und nun wieder einmal aktualisiert worden sind. Um nicht Gefahr zu laufen, in den Anwendungsbereich der § 43 BDSG und den damit verbundenen möglichen Bußgeldern zu geraten, hat die Verwendung der Klauseln im internationalen Geschäftsverkehr erhebliche Relevanz.
Bisherige Klauseln für Unternehmen zu belastend
Die bisher geltenden EU-Standardvertragsklauseln wurden jedoch vor allem von US-Unternehmen als zu umständlich und zu belastend kritisiert. Diesem Umstand hat die EU-Kommission in Teilen Rechnung tragen wollen und in das neue Klauselwerk u.a. ausgleichende und praxisnahe Vorschläge der International Chamber of Commerce (ICC) einfließen lassen.
Eine der wichtigsten Neuregelungen ist dabei die vorgesehene Möglichkeit des Outsourcings durch den Empfänger der personenbezogenen Daten im Ausland. Das bedeutet, dass der Empfänger im Ausland die Daten seinerseits an einen weiteren Verarbeiter transferieren darf, sofern der in der im EU/EWR-Raum ansässige Datenexporteur zugestimmt hat und auch der Drittempfänger sich den Standardvertragsklauseln unterwirft.
Fazit
Insgesamt sind die neuen EU-Standardvertragsklauseln damit als ein Versuch zu betrachten, den Gepflogenheiten und der Schnelllebigkeit des internationalen Geschäftsverkehrs zu entsprechen, gleichzeitig aber ein angemessenes Datenschutzniveau zu gewährleisten. Inwieweit die neuen Regelungen tatsächlich praktikabel sind, kann nur die Praxis in den nächsten Monaten zeigen.
Zur deutschsprachigen Version der neuen EU-Standardvertragsklauseln (PDF).
