Die Regelungen für eine Auftragsdatenverarbeitung nach dem BDSG werden hinlänglich praktiziert. Hier sind insbesondere die Verarbeitung der Daten innerhalb der EU durch entsprechende Regelungen abgedeckt. Was aber passiert, wenn ein Dienstleister außerhalb der EU genutzt wird und als Funktionsträger die Daten des Unternehmens verarbeitet? Hierzu zählen beispielsweise Dienste wie Amazon oder Google oder auch das bekannte CRM System Salesforce, die Ihre Daten häufig außerhalb der EU speichern und weiterverarbeiten.

Vor dem Abschluss eine Vertrages zur Auftragsdatenverarbeitung ist zu empfehlen, zuerst die Privacy Policies der Unternehmen zu lesen. Sofern diese Bestandteil eines Vertrages sind oder werden sollen, sind dort bereits Hinweis auf die Verarbeitung der Daten außerhalb der EU zu finden.

Privacy Shield als Nachfolger für Safe Harbour

Explizit für US Unternehmen bestand darüber hinaus ein Abkommen zwischen der EU und den USA, das veraltete Safe Harbour Abkommen. In diesem wurde geregelt, wie der Datenschutz der EU zu erfüllen ist. Unternehmen, die sich dieser Vereinbarung freiwillig unterwerfen wollten, konnten sich diesbezüglich zertifizieren lassen.

Die entsprechende Liste des US Handelsministeriums kann im Web unter hier eingesehen werden. Dort können Sie prüfen, ob das zu beauftragende Unternehmen zertifiziert ist und wie lange diese noch Gültig ist.

Am 8.Oktober 2015 wurde  das Safe Harbour Abkommen durch den europäischen Gerichtshof aufgrund unzureichender Vereinbarungen für nichtig erklärt. Damit wurde für viele Vereinabrungen die Rechtsgrundlage entzogen.

Nähere Informationen hierzu finden Sie auf der Webseite des Bundesdatenschutzbeauftragten unter https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html.

Anstelle des Safe Harbour Abkommens wurde 2016 das „Privacy Shield“ Abkommen abgeschlossen, welches die Beanstandungen des bisherigen Abkommens kompensieren soll. Auch hier müssen sich Unternehmen wieder zertifizieren lassen. Neu ist insbesondere, dass die Gültigkeit der Zertifizierung durch das beauftragte Unternehmen jährlich nachgewiesen werden muss.

Die zertifizierten Unternehmen können wiederum auf der Webseite https://www.privacyshield.gov  eingesehen werden.

EU Vertragsbedingungen für Auftragsdatenverarbeitung

Offen bleibt aber, wie ein Vertrag mit einem Unternehmen in einem Drittstaat abgeschlossen werden soll. Hier hat die EU entsprechende Vorlagen bereitgestellt, die sich in jedem Vertrag wieder finden sollten (https://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm ). Entscheidend ist dabei die Auswahl der richtigen Vorlage.

Leider basieren die Vorlagen noch auf den bisherigen Datenschutzregelungen der EU, die bekanntlich durch die DSGVO Regelungen abgelöst werden. Es ist daher davon auszugehen, dass diese Vertragsregelungen nur noch eine Übergangszeit ihre Gültigkeit behalten und dann durch neu abzuschließende Verträge abgelöst werden müssen.

Auch die Verbindglichkeit des Privacy Shield Abkommens ist noch nicht abschließend geklärt, insbesondere nach dem Regierungswechsel in den USA.

Hohe Komplexität

Insgesamt ist das Thema zum Abschluss eines Vertrages zur Auftragsdatenverarbeitung hoch komplex. Nützliche Hinweise, wie im Einzelfall zu verfahren ist finden sich auf der Webseite des Landesdatenschutzbeauftragten NRW unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/index.php oder auf https://www.datenschutz-notizen.de/sind-die-eu-standardvertragsklauseln-noch-wirksam-10-punkte-die-jetzt-beachtet-werden-sollten-0912785/