Outsourcing

Vorsicht bei den neuen Standardvertragsklauseln!

Dr. Flemming Moos ist Fachanwalt für IT-Recht bei der Wirtschaftskanzlei Osborne Clarke in Hamburg.
Stammt der erste Auftragnehmer aus dem europäischen Wirtschaftsraum, so kommen die Erleichterungen des Gesetzgebers nicht zum Tragen.
Foto: Fotolia/Vege
Foto: Fotolia/Vege
Foto: Fotolia, Vege

Seit dem 15. Mai sind die neuen Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern in Kraft. Die am 5. Februar 2010 verabschiedeten Klauseln lösen den bisherigen Standardvertrag ab, der fortan nicht mehr verwendet werden kann. Eine wesentliche Neuerung ist die ausdrückliche Regelung von Unterbeauftragungen, die in den alten Klauseln fehlte.

Hintergrund des Beschlusses ist die Sicherung eines angemessenen Datenschutzniveaus außerhalb des europäischen Wirtschaftraums (EWR). Ein Transfer personenbezogener Daten an einen Empfänger außerhalb der EU beziehungsweise des EWR ist untersagt, wenn bei dem Empfänger kein "angemessenes Datenschutzniveau" gewährleistet ist (Paragraf 4b Absatz 2 Satz 2 BDSG).

Ob bei einem Empfänger ein solches angemessenes Datenschutzniveau tatsächlich gewährleistet ist, kann nur in einer aufwändigen Prüfung festgestellt werden, die die übermittelnde Stelle regelmäßig überfordern würde. Deshalb hat der (europäische) Gesetzgeber einige Erleichterungen vorgesehen, welche die Datenübermittlungen an Empfänger außerhalb des EWR praktikabel machen. Das sind zum einen die bindenden Feststellungen der Europäischen Kommission, nach denen das Datenschutzniveau bestimmter Länder insgesamt als "angemessen" bewertet wird. Ferner handelt es sich um "Verbindliche Unternehmensregelungen" (Binding Corporate Rules, kurz: BCR). Und drittens gibt es noch die "Standardvertragsklauseln", die jetzt in der neuen Form in Kraft getreten sind.