Foto: Fotolia, Vege
Seit dem 15. Mai sind die neuen Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern in Kraft. Die am 5. Februar 2010 verabschiedeten Klauseln lösen den bisherigen Standardvertrag ab, der fortan nicht mehr verwendet werden kann. Eine wesentliche Neuerung ist die ausdrückliche Regelung von Unterbeauftragungen, die in den alten Klauseln fehlte.
Hintergrund des Beschlusses ist die Sicherung eines angemessenen Datenschutzniveaus außerhalb des europäischen Wirtschaftraums (EWR). Ein Transfer personenbezogener Daten an einen Empfänger außerhalb der EU beziehungsweise des EWR ist untersagt, wenn bei dem Empfänger kein "angemessenes Datenschutzniveau" gewährleistet ist (Paragraf 4b Absatz 2 Satz 2 BDSG).
Ob bei einem Empfänger ein solches angemessenes Datenschutzniveau tatsächlich gewährleistet ist, kann nur in einer aufwändigen Prüfung festgestellt werden, die die übermittelnde Stelle regelmäßig überfordern würde. Deshalb hat der (europäische) Gesetzgeber einige Erleichterungen vorgesehen, welche die Datenübermittlungen an Empfänger außerhalb des EWR praktikabel machen. Das sind zum einen die bindenden Feststellungen der Europäischen Kommission, nach denen das Datenschutzniveau bestimmter Länder insgesamt als "angemessen" bewertet wird. Ferner handelt es sich um "Verbindliche Unternehmensregelungen" (Binding Corporate Rules, kurz: BCR). Und drittens gibt es noch die "Standardvertragsklauseln", die jetzt in der neuen Form in Kraft getreten sind.
Praktische Auswirkungen auf das Outsourcing
Der Beschluss dürfte besondere Relevanz für "Kettenverlagerungen" im Rahmen des Offshore-Outsourcing haben. Bislang gab es ja eine erhebliche Hürde für Weiterverlagerungen an Subauftragnehmer. Sie bestand darin, dass der Kunde selbst die notwendige Datenschutzvereinbarung mit den Auftragnehmern schließen musste.
Nun können Unternehmen dem Outsourcing-Dienstleister eine Weiterverlagerung in Drittländer auch aus datenschutzrechtlicher Sicht gestatten. Bedingung ist allerdings, dass sich auch der Subauftragnehmer des Serviceunternehmens zur Einhaltung der geltenden Datenschutzvorschriften verpflichtet.
Aber Vorsicht: Die neuen Standardvertragsklauseln gelten nur, wenn schon der Erstdienstleiter außerhalb des europäischen Wirtschaftsraums ansässig sind. Häufig ist es jedoch so, dass ein Auftraggeber in der EU einen Vertrag über IT-Dienstleistungen mit einer in der EU niedergelassenen Einheit eines Outsourcing-Nehmers schließt. Wenn der dann Teile der Dienstleistungen an Tochter- oder Schwestergesellschaften oder Dritte zur "Nearshore-" oder "Offshore"-Bearbeitung weitergibt, basiert die Unterbeauftragung eben nicht auf den neuen Standardvertragsklauseln. In diesem Fall bleibt es dabei, dass der Auftraggeber selbst entsprechende Verträge mit den jeweiligen Unterauftragnehmern in Drittländern schließen muss.