Die Praxis der Auftragsverarbeitung, Teil 3: Unterauftragnehmer in Drittstaaten

In dieser neuen Reihe (hier geht's zu Teil 1 und Teil 2) erklären wir Ihnen typische Probleme und Lösungen zum Thema Auftragsverarbeitung aus unserer Beratungspraxis. Wir befassen uns dabei vor allem mit Konstellationen, die in der Praxis häufig unerkannt bleiben und deshalb nicht „sauber“ geregelt werden, obwohl das wichtig ist. In diesem dritten Teil geht es um die Möglichkeiten einer datenschutzrechtlich sauberen Einbindung von Unterauftragnehmern aus Drittstaaten.

Der Datenexport an Unterauftragnehmer in Drittstaaten

Viele unserer Mandanten sind Auftragsverarbeiter. Zur Erbringung ihrer Leistungen setzen diese oft auf die Dienste von Unterauftragnehmern. Dies ist tatsächlich sogar eher die Regel als die Ausnahme: Nur selten wird eine Software auf eigenen Servern im eigenen Unternehmen gehostet. Vielmehr werden regelmäßig Serverkapazitäten flexibel extern angemietet oder die eigenen Server in Rechenzentren externer Unternehmen betrieben.

Zu diesen Unterauftragnehmern gehören wiederum oftmals die „Großen“, wie AWS, Google oder Microsoft; diese sitzen bekanntlich in den USA. Personenbezogene Daten und USA – da klingeln bei manchem sicher die Alarmglocken!

Ganz so dramatisch muss man es sicher nicht gleich ausdrücken – aber es gibt aus Sicht des Datenschutzrechts tatsächliche einiges zu beachten, wenn man sich als EU-Auftragsverarbeiter einen Dienstleiter aus den USA ins Boot holen möchte.

Datenschutzrechtliche Vorgaben für den legalen Export von Daten

Eine Übermittlung von personenbezogenen Daten im Rahmen der Auftragsverarbeitung in ein Drittland, also ein sog. Datenexport, ist nach den Regelungen der DSGVO nur gestattet, wenn bestimmte Voraussetzungen vorliegen. Diese Voraussetzungen finden sich in den Art. 44 ff. DSGVO.

Was ist ein Drittland?

Zunächst stellt sich bei der Auftragsverarbeitung die Frage: Was ist überhaupt ein Drittland?

Die Regelungen der DSGVO gelten für alle Länder der EU und des europäischen Wirtschaftsraumes (EWR; also zusätzlich zu den 27 EU-Mitgliedstaaten noch Island, Liechtenstein und Norwegen). Innerhalb dieser Staaten gibt es einen freien Datenverkehr. Es macht datenschutzrechtlich betrachtet also keinen Unterschied, ob ein Datenempfänger seinen Sitz in Deutschland, Kroatien oder Rumänien hat.

Setzt man aber einen Unterauftragnehmer ein, der seinen Sitz außerhalb der EU oder der EWR-Staaten hat, liegt datenschutzrechtlich betrachtet ein Fall eines Datenexports vor. Um diesen rechtskonform abbilden zu können, stehen dem Auftragsverarbeiter mehrere Instrumente zur Verfügung. Konkret stehen für einen legalen Datenexport, auch durch den Auftragsverarbeiter, mehrere Rechtsinstrumente zur Verfügung:

Rechtliche Möglichkeiten für einen legalen Datenexport

• Angemessenheitsbeschluss der EU-Kommission (Art. 45 Abs. 3 DS GVO): Bescheinigt die EU-Kommission einem Drittstaat ein angemessenes Datenschutzniveau, können an einen Empfänger in diesen Staaten personenbezogene Daten grundsätzlich auf die gleiche Weise exportiert werden, wie bei einer grenzüberschreitenden Übermittlung innerhalb der EU und des EWR. Denn: Diese Länder (bzw. die Empfänger dort) unterliegen vergleichbaren rechtlichen Regelungen zum Datenschutz, so dass das Niveau als zumindest annähernd ähnlich bezeichnet werden kann. Aktuell hat die EU Kommission zahlreichen Staaten ein angemessenes Datenschutzniveau bescheinigt, sodass in diese Länder bedenkenlos Daten exportiert werden können (selbstverständlich müssen die übrigen Voraussetzungen für eine rechtskonforme Übermittlung vorliegen; insbesondere eine Vereinbarung nach Art. 28 DSGVO): Dazu zählen unter anderem die Schweiz, Israel, Argentinien, Japan, Neuseeland und Kanada. Außerdem gilt ein angemessenes Datenschutzniveau für alle US-amerikanische Unternehmen, die nach dem sog. Privacy Shield zertifiziert sind. Zudem führt die EU-Kommission derzeit Verhandlungen mit Südkorea über die Anerkennung des dortigen Datenschutzniveau als „angemessen“.
• Vereinbarung „geeigneter Garantien“ (Art. 45 DSGO): Neben den Fällen eines Angemessenheitsbeschlusses ist ein Export von Daten an Empfänger in Drittstaaten immer dann erlaubt, wenn dieser „geeignete Garantien“ für die Einhaltung eines gewissen Datenschutzniveaus bietet. Als geeignete Garantien gelten einerseits die sog. EU-Standardvertragsklauseln (oder auch „EU-Model-Clauses“ oder „Standard Contractual Clauses; SCC“ genannt). Bei den EU-Standardvertragsklauseln handelt es sich um vorformulierte Klauseln, die zwischen dem Datenimporteur und -exporteur vereinbart werden. Diese Klauseln garantieren ein angemessenes Datenschutzniveau beim Importeur, so dass dieser datenschutzrechtlich quasi als „sichere Insel“ angesehen werden kann. Die Standardvertragsklauseln regeln Rechte und Pflichten der Parteien beim Umgang mit personenbezogenen Daten; sie müssen unverändert bleiben. Im Anhang zu den Klauseln befinden sich Formulare, in denen Einzelheiten zu den Parteien, den exportierten Daten, der Datenverwendung und ggf. Sicherheitsvorkehrungen beim Importeur einzutragen sind.
• Andererseits kommen verbindliche interne Unternehmensvorschriften zum Datenschutz (sog. Binding Corporate Rules; BCR) für solche Fälle in Betracht. Zu Ihrer Wirksamkeit müssen BCR zuvor von der europäischen Datenschutzbehörde des Landes, aus dem Daten übertragen werden sollen, geprüft und freigegeben werden. Aufgrund dieses langwierigen Prozesses eignen sich BCR meist nur als Instrument für die Abwicklung des Datentransfers in relativ großen multinationalen Konzernen.
• Im Übrigen ist der Datenexport nur bei Vorliegen bestimmter Voraussetzungen erlaubt. Die Anwendungsfälle dieser besonderen Voraussetzungen finden sich in Art. 49 DSGVO und sind tendenziell eher eng auszulegen, so dass es in der Praxis nur selten zur Anwendbarkeit eines solchen Ausnahmefalls kommt.

Problem 1: Wer ist überhaupt mein Auftragsverarbeiter?

Nun stellt sich in der Praxis, vor allem wenn man als in der EU ansässiger Auftragsverarbeiter einen der „großen“ IT-Dienstleister als Unterauftragnehmer einsetzt, die Frage: Welche konkrete Gesellschaft ist überhaupt „mein“ Auftragsverarbeiter?

Diese Frage ist tatsächlich oftmals nicht leicht zu beantworten, hat doch allein Google weltweit mehr als 80 Tochtergesellschaften. Ohne Studium der (auch für uns Juristen) sehr langen und unübersichtlichen, weil über mehrere Dokumente verteilten, Rechtstexte von Google kann wohl niemand mit Gewissheit sagen, mit welcher dieser Gesellschaften er im Rahmen der Auftragsverarbeitung seine Verträge geschlossen hat. Als Faustregel kann man zu diesem kleinen Sonderproblem festhalten, dass europäische Kunden meist mit einer in Europa niedergelassenen Tochtergesellschaft des jeweiligen Konzerns seine Verträge schließt. Beispielsweise schließen alle Kunden von Amazon Web Services (AWS) ihre Verträge (oftmals ohne es zu wissen) nicht mit der AWS Inc. in Seattle, sondern mit der Amazon Web Services EMEA SARL in Luxemburg. Ähnliches gilt für Google, werden doch die Verträge europäischer Kunden für gewöhnlich mit der Google Ireland Ltd. geschlossen.

Problem 2: Unterauftragnehmer in der EU – Alles safe?

Nun mag man auf den ersten Blick meinen, dass dann ja kein Fall eines Datenexports in einen Drittstaat stattfindet; man hat einen Vertrag zur Auftragsverarbeitung mit einer europäischen Tochtergesellschaft geschlossen. Noch dazu hat man ja, was inzwischen regelmäßig möglich ist, als Serverstandort ein Rechenzentrum in Deutschland oder einem anderen EU-Mitgliedsstaat gewählt. Aber: Das reicht für ein datenschutzkonformes Handeln im Rahmen der Auftragsverarbeitung meist nicht aus. Denn in fast jeder ihrer AV-Vereinbarungen bedingen sich die großen IT-Unternehmen das Recht aus, auf die Daten auch von außerhalb der EU bzw. des EWR zuzugreifen, teils von Konzernunternehmen, teils von externen Dienstleistern. Weil aber bereits der bloße Zugriff auf Daten von außerhalb der EU rechtlich betrachtet einen Fall des Datenexports darstellt, kann man sich also auch dann, wenn man einen Vertrag mit einem „europäischen“ IT-Dienstleister geschlossen und als Serverstandort ein Rechenzentrum in der EU gewählt hat, nicht automatisch sicher sein, dass nicht doch ein Fall eines Datenexports vorliegt.

Weil dieses Problem hinlänglich bekannt ist, finden sich in fast allen der Standard-Vereinbarungen mit den „großen“ IT-Konzernen Reglungen, die den Datenexport auf eine rechtlich sichere Grundlage stellen. In der Regel wird dort auf die EU-Standardvertragsklauseln zurückgegriffen, die parallel zum Auftragsverarbeitungsvertrag mit dem jeweiligen Anbieter geschlossen werden. Als Fallback hat man zudem noch eine Alternative: Den Privacy-Shield. Nahezu allen nennenswerten US-amerikanischen Unternehmen sind nach dem EU-US Privacy-Shield-Agreement zertifiziert, so dass auch im Falle, dass die EU-Standardvertragsklauseln nicht anwendbar sein sollten (dazu sogleich), eine Möglichkeit zum legalen Datenexport vorliegt.

Problem 3: Probleme des Standard-Instruments für den Datenexport, den EU-Standardvertragsklauseln

Um eines klar zu sagen: Die EU-Standardvertragsklauseln sind auch im Falle der Auftragsverarbeitung das praktisch häufigste rechtliche Instrument für einen Export von Daten in Staaten außerhalb der EU und des EWR. Häufig werden die EU-Standardvertragsklauseln auch standardmäßig mit den Verträgen der großen IT-Unternehmen geschlossen.

Die standardmäßige Vereinbarung von EU-Standardvertragsklauseln scheidet aber immer dann aus, wenn der Auftraggeber selbst ein Auftragsverarbeiter ist. Das Ganze hat den Hintergrund, dass die EU-Standardvertragsklauseln (weil es sie schon vor der DSGVO gab) nicht auf die Reglungen des DSGVO zum Datenexport abgestimmt sind. Die EU-Standardvertragsklauseln dürfen aber nur unverändert übernommen werden (man darf tatsächlich kein Punkt und kein Komma daran verändern), ansonsten verlieren sie ihre Gültigkeit. Das große Manko der EU-Standardvertragsklauseln ist jedoch, dass diese nur zwischen einem Verantwortlichen (als Datenexporteur) und einem Auftragsverarbeiter (als Datenimporteur mit Sitz in einem Drittstaat) geschlossen werden können.

In unserem Fall jedoch hat der erste Auftragsverarbeiter (also unser Mandant) seinen Sitz innerhalb der EU; beim Datenimporteur mit Sitz in einem Drittstaat handelt es sich „nur“ um einen Unterauftragnehmer. Die EU-Standardvertragsklauseln, die, wie gesagt, nur unverändert geschlossen werden können, sehen einen solchen Fall jedoch nicht vor. Sie können nur zwischen dem Datenexporteur und dem Datenimporteur direkt geschlossen werden.

Das bedeutet konkret, dass ein in der EU niedergelassener Auftragsverarbeiter zwischen jedem seiner Kunden und seinem Unterauftragnehmer einen direkten Vertragsabschluss ermöglichen muss. Dies ist für den Auftragsverarbeiter meist mit einigem organisatorischen Aufwand verbunden, wenn er seine Kunden nicht nur mit einem, sondern mit zwei Vertragsschlüssen behelligen muss.

Alternativ dazu können sich die in der EU beziehungsweise dem EWR niedergelassenen Auftragsverarbeiter im Rahmen der AVV auch zum Abschluss der EU-Standard Vertragsklauseln im Namen ihres jeweiligen Kunden / Auftraggebers bevollmächtigen lassen. Eine solche Bevollmächtigungsklausel sticht jedoch aus den aus dem üblichen Kanon an Regelungen in einer AVV hervor, sodass, zumindest unserer Erfahrung nach, sehr viele Rückfragen von Kundenseite zu einer solchen Bevollmächtigung kommen. Damit steigt abermals der Aufwand beim Auftragsverarbeiter. Dieser Weg bringt darüber hinaus noch ein weiteres Problem der Auftragsverarbeitung mit sich: Die IT-Dienstleister sehen administrativ meistens nicht die Möglichkeit vor, dass ein Kunde (also hier unser Auftragsverarbeiter) „mehrmals“ und „parallele“ EU Standardvertragsklauseln abschließen kann. Aber streng genommen muss er ja für das ja jeden seiner Kunden tun.

Wie gehen wir vor?

Einziger Ausweg ist in diesen Fällen dann die „Kündigung“ der EU-Standardvertragsklauseln, die standardmäßig mit den AGB des jeweiligen Anbieters abgeschlossen werden. Oder besser: Man schließt die EU-Standardvertragsklauseln gar nicht erst ab. Zumindest Microsoft sieht den Fall der „Kündigung“ in seinen Online Service Terms (OST) explizit vor.

Und genau das ist dann manchmal auch unser pragmatischer Rat an Auftragsverarbeiter „in der Zwickmühle“: Wenn Sie sich den administrativen Aufwand der sauberen Vereinbarung der EU-Standardvertragsklauseln ersparen wollen, verzichten Sie in diesen speziellen Fällen auf den Abschluss der EU-Standardvertragsklauseln. Nachteil ist dann allerdings: Für den Fall, dass der Auftragsverarbeiter diese Option zieht, sind die IT Dienstleister ja noch nach dem EU-US Privacy-Shield-Agreement zertifiziert, so dass eine Alternative für den legalen Datenexport vorliegt. Diesem Abkommen sprechen allerdings namhafte Stimmen im Datenschutzrecht, ebenso wie der Vorgänger-Regelung „Safe Harbour“ die Rechtmäßigkeit ab. Es könnte also durchaus eines Tages passieren, dass der Europäische Gerichtshof (EuGH) wie er es schon im Fall des Safe-Harbour-Abkommens getan hat, auch das EU-US Privacy-Shield-Agreement als nicht rechtmäßig verwirft. Dann jedoch entfiele der einzige Fallback unseres Auftragsverarbeiters mit einem Unterauftragnehmer, der die Daten von außerhalb der EU bzw. des EWR verarbeitet.

In einen sauren Apfel muss man als Auftragsverarbeiter mit Unterauftragnehmern in Drittstaaten also beißen – zumindest solange es keine Überarbeitung der EU-Standardvertragsklauseln gibt: Entweder man nutzt die EU-Standardvertragsklauseln als Rechtsinstrument für den legalen Datenexport und nimmt den administrativen Aufwand in Kauf. Oder man verlässt sich „nur“ auf die Wirksamkeit des Privacy Shield; ohne weiteren Aufwand, aber mit der Gefahr, irgendwann ohne Rechtsgrundlage für den Export dazustehen. Für letztere Position braucht es also ein wenig mehr Optimismus und Zuversicht – Genau das kann uns allen aber in dieses Tagen ohnehin nicht schaden.