Der LfDI BW hat vorgestern eine Orientierungshilfe zum Umgang mit #SchremsII veröffentlicht. Ich bin wirklich dankbar für jedes belastbare Statement der Datenschutzbehörden, habe dazu aber ein paar kurze Anmerkungen (Thread).
baden-wuerttemberg.datenschutz.de/wp-content/upl…
baden-wuerttemberg.datenschutz.de/wp-content/upl…
Allgemein (nicht nur hier) würde ich mir wünschen, dass i.S. SchremsII mehr differenziert wird.
Der Fall, den der EuGH entschied, betraf Daten zum Privatleben von sehr vielen Personen und Fälle, in denen ein Zugriff von US-Sicherheitsbehörden durchaus wahrscheinlich ist.
Der Fall, den der EuGH entschied, betraf Daten zum Privatleben von sehr vielen Personen und Fälle, in denen ein Zugriff von US-Sicherheitsbehörden durchaus wahrscheinlich ist.
Die typischen Fälle von Drittlandübermittlungen sind aber andere.
Das sind Fälle wie "unser 3rd level-Support sitzt in den USA, und manchmal muss er sich auf Produktivsysteme aufschalten".
Oder: "unsere zentrale Personalverwaltung sitzt in den USA".
Das sind Fälle wie "unser 3rd level-Support sitzt in den USA, und manchmal muss er sich auf Produktivsysteme aufschalten".
Oder: "unsere zentrale Personalverwaltung sitzt in den USA".
Es geht idR. also um ganz andere Daten und Datenübermittlungen. Die Daten sind meist viel weniger privatsphärerelevant und von viel weniger Interesse für US-Geheimdienste. Häufig ist es auch schwer, Personenbezug herzustellen (z.B. bei der o.g. Fernwartung durch Support).
Insofern würde ich mich freuen, wenn eine der Datenschutzbehörden (oder vielleicht sogar das @EU_EDPB) klarstellen könnte, dass die Fallkonstellationen sehr verschieden sind und "one size fits all"-Lösungen nicht funktionieren.
Im Übrigen finde ich interessant, dass der LfDI BW in seinem Papier eine Reihe von "Abänderungen" der Standardvertragsklauseln vorschlägt (konkret: der 2010er C2P-SCC - eur-lex.europa.eu/LexUriServ/Lex…).
"Abändern" sollte man solche Klauseln nicht.
"Abändern" sollte man solche Klauseln nicht.
Das ergibt sich sowohl aus den Klauseln selbst (dort Ziffer 10) als auch aus der DSGVO.
Nur dann, wenn die Klauseln unverändert eingesetzt werden, handelt es sich um von der Kommission "erlassene" Standarddatenschutzklauseln i.S.d. Art. 46 II c), V DSGVO.
Nur dann, wenn die Klauseln unverändert eingesetzt werden, handelt es sich um von der Kommission "erlassene" Standarddatenschutzklauseln i.S.d. Art. 46 II c), V DSGVO.
Änderungen der Klauseln führen zu deren Unwirksamkeit als Rechtsgrundlage der Übermittlung. Das heißt: Die Übermittlung wird dadurch *erst recht* rechtswidrig.
Terminologisch sollte deshalb unbedingt Klarheit herrschen:
1) SCC sollten *unverändert* vereinbart werden
2) *Zusatz*-Regelungen sind erlaubt, gehören aber in eine Ergänzungsvereinbarung oder den Hauptvertrag
1) SCC sollten *unverändert* vereinbart werden
2) *Zusatz*-Regelungen sind erlaubt, gehören aber in eine Ergänzungsvereinbarung oder den Hauptvertrag
Auch zu den Änderungsvorschlägen des LfDI BW selbst noch ein paar Anmerkungen:
Erster Vorschlag des LfDI BW:
Klausel 4 f) der SCC soll so geändert werden, dass der Exporteur die betroffenen Personen bei Übermittlungen in "unsichere Drittstaaten" informieren muss. (Gegenüberstellung der Klausel mit dem Änderungsvorschlag unten)
Klausel 4 f) der SCC soll so geändert werden, dass der Exporteur die betroffenen Personen bei Übermittlungen in "unsichere Drittstaaten" informieren muss. (Gegenüberstellung der Klausel mit dem Änderungsvorschlag unten)
Hier spricht nichts dagegen, aber diese Pflicht ergibt sich bereits aus der DSGVO (Art. 13 I f) bzw. Art. 14 I f) DSGVO). Eine Info zu Drittlandübermittlungen steht deshalb in jeder Datenschutzerklärung.
Was soll es nutzen, dies noch zusätzlich vertraglich zu vereinbaren?
Was soll es nutzen, dies noch zusätzlich vertraglich zu vereinbaren?
Zweiter Vorschlag des LfDI BW:
Klausel 5 d) i) soll so abgeändert werden, dass der Datenimporteur nicht nur den Exporteur, sondern unmittelbar auch die betroffenen Personen informiert, falls eine "Vollstreckungsbehörde" Daten herausverlangt.
Klausel 5 d) i) soll so abgeändert werden, dass der Datenimporteur nicht nur den Exporteur, sondern unmittelbar auch die betroffenen Personen informiert, falls eine "Vollstreckungsbehörde" Daten herausverlangt.
Praktisch ist das in den meisten Fällen gar nicht umsetzbar, weil der Importeur (der in diesem Fall Auftragsverarbeiter ist) die Betroffenen i.d.R. gar nicht identifizieren kann, bzw. keine Kontaktdaten hat.
Und rechtlich wäre es risikoreich:
Und rechtlich wäre es risikoreich:
Man stelle sich einmal vor, was passieren würde, wenn das ein Importeur wirklich machen würde: Als Auftragsverarbeiter schreibt er unmittelbar die Kunden bzw. Mitarbeiter seines Auftraggebers an - und zwar mit einer Info, die für den Auftraggeber sehr schädlich sein kann.
Dritter Vorschlag des LfDI BW:
Eine Pflicht des Datenimporteurs, gegen Herausgabeanordnungen den Rechtsweg zu beschreiten und zu erschöpfen.
Eine Pflicht des Datenimporteurs, gegen Herausgabeanordnungen den Rechtsweg zu beschreiten und zu erschöpfen.
Den Vorschlag finde ich eigentlich ganz gut, auch wenn ich ihn anders formulieren würde. Nicht in jeder Konstellation kann er funktionieren, aber in vielen.
Vor allem dort, wo die Wahrscheinlichkeit von solchen Anordnungen sehr niedrig ist, ist das m.E. eine gute Lösung.
Vor allem dort, wo die Wahrscheinlichkeit von solchen Anordnungen sehr niedrig ist, ist das m.E. eine gute Lösung.
Vierter Vorschlag des LfDI BW:
Er will Klausel 7 dahingehend abändern, dass Buchstabe a) (optionales Schlichtungsverfahren) gestrichen wird.
Er will Klausel 7 dahingehend abändern, dass Buchstabe a) (optionales Schlichtungsverfahren) gestrichen wird.
Das geht aus den o.g. Gründen so nicht. Man darf die SCC, wie gesagt, nicht abändern. Wenn dort ein Schlichtungsverfahren geregelt ist, dann dürfen die Parteien es nicht ausschließen.
Fünfter Vorschlag:
Der LfDI schlägt vor, die in Anhang 2 des SCC genannte "faktultative Haftungsklausel" aufzunehmen.
Der LfDI schlägt vor, die in Anhang 2 des SCC genannte "faktultative Haftungsklausel" aufzunehmen.
Die Idee finde ich im Ausgangspunkt gut. Sicherlich kann eine Verschiebung von Haftungsrisiken auch für einen besseren Schutz der Betroffenen bei Drittlandtransfers sorgen.
Die Klausel finde ich aber (wie auch die ganzen SCC allgemein) handwerklich nicht gut gemacht.
Die Klausel finde ich aber (wie auch die ganzen SCC allgemein) handwerklich nicht gut gemacht.
Ausgangspunkt einer vertraglichen Haftung wäre in Deutschland erst einmal das Gesetzesrecht zur Haftung aus Vertrag, konkret die §§ 280 ff. und 249 ff. BGB. Diese regeln ein ausgewogenes Haftungsregime für beide Seiten, insbesondere auch in Bezug auf Mitverschulden (§ 254 BGB).
Die vorgeschlagene Klausel bleibt in der Komplexität hinter diesem gesetzlichen Rahmenrecht zurück.
Im Streitfall würde sich deshalb die Frage stellen, was die Klausel eigentlich sein soll: Haftungsausschluss? Haftungsfreistellung? Garantiehaftung?
Folge: Rechtsunsicherheit.
Im Streitfall würde sich deshalb die Frage stellen, was die Klausel eigentlich sein soll: Haftungsausschluss? Haftungsfreistellung? Garantiehaftung?
Folge: Rechtsunsicherheit.
Aus diesem Grund würde ich von der Verwendung dieser Klausel (so) abraten. Aber: Haftungsklauseln speziell in Bezug auf Drittlandtransfers sind durchaus denkbar.
Diese müssen dann allerdings sowohl auf den vertraglichen als auch auf den gesetzlichen Rahmen zugeschnitten sein.
Diese müssen dann allerdings sowohl auf den vertraglichen als auch auf den gesetzlichen Rahmen zugeschnitten sein.
Zusammengefasst:
Die Orientierungshilfe enthält viele gute Ideen, und es ist super, dass der LfDI BW hier konstruktive Vorschläge macht. Ohne kritische Überprüfung und Anpassung auf den eigenen Fall sollte man diese aber nicht (so) übernehmen.
Die Orientierungshilfe enthält viele gute Ideen, und es ist super, dass der LfDI BW hier konstruktive Vorschläge macht. Ohne kritische Überprüfung und Anpassung auf den eigenen Fall sollte man diese aber nicht (so) übernehmen.
