Versicherung

FAQ 10 lautet: "Wenn Daten aus der EU in den USA im Auftrag verarbeitet werden sollen, muss dafür ein Vertrag geschlossen werden, unabhängig davon, ob der Auftragsverarbeiter der Vereinbarung zum sicheren Hafen beigetreten ist oder nicht?"

Im ersten Absatz der Antwort wird hierzu folgendes ausgeführt: "Ja. Werden Daten lediglich zur Verarbeitung im Auftrag übermittelt, muss der in Europa für die Verarbeitung Verantwortliche darüber stets einen Vertrag schließen, gleich ob die Verarbeitung in oder außerhalb der EU stattfindet. Der Vertrag soll die Interessen des für die Verarbeitung Verantwortlichen schützen, also der natürlichen oder juristischen Person, die Mittel und Zweck der Verarbeitung bestimmt und die gegenüber der (den) betroffenen Person(en) voll verantwortlich bleibt. Im Vertrag wird festgehalten, welche Arbeiten genau auszuführen sind und mit welchen Vorkehrunge n für die Sicherheit der Daten zu sorgen ist."

Dieser Teil der Antwort besagt also nur, dass selbstverständlich ein Dienstleistungsvertrag zu schließen ist, in dem der Gegenstand der Datenverarbeitungsdienstleistung zu konkretisieren ist. Ferner korrespondiert dieser Teil der Antwort zu FAQ 10 mit den obigen Ausführungen, wonach Regelungen zu treffen sind, die dem Mustervertrag zu § 11 BDSG angelehnt sind.

Im dritten (und letzten) Absatz der Antwort zu FAQ wird ausgeführt, dass der Drittstaatentransfer keiner Genehmigung bedarf, wenn der Auftragsverarbeiter im Drittstaat sich den Safe-Harbor -Regelungen unterworfen hat.

Dies ist gerade die Kernaussage der Safe-Harbor -Entscheidung der EUKommission.

Äußerst missverständlich ist aber der zweite Absatz der Antwort zu FAQ 10, der wie folgt lautet: "Eine amerikanische Organisation, die der Vereinbarung zum "sicheren Hafen" beigetreten ist und personenbezogene Daten aus der EU zur Verarbeitung im Auftrag übermittelt bekommt, braucht bei diesen Daten die Grundsätze nicht anzuwenden, denn die Verantwortung dafür gegenüber der betroffenen Person liegt nach den geltenden EU -Rechtsvorschriften (die strenger sein können als die Grundsätze des "sicheren Hafens") weiterhin bei dem für die Verarbeitung Verantwortlichen." Wären die Safe-Harbor-Grundsätze überhaupt nicht anwendbar, würde durch die Safe-Harbor-Zertifizierung kein angemessenes Datenschutzniveau geschaffen, der zweite Absatz der Antwort zu FAQ 10 stünde somit im Widerspruch zum dritten Absatz der Antwort zu FAQ 10.

Die Aussage, dass auf die im Rahmen einer "Auftragsdatenverarbeitung" erhaltenen Daten die Safe-Harbor-Grundsätze nicht anwendbar seien, ist allerdings insoweit zutreffend, als die Grundsätze nicht völlig auf diesen Fall passen. Die Grundsätze regeln die Frage, unter welchen Voraussetzungen der Datenempfänger im Drittstaat die Daten zu Werbezwecken nutzen darf (opt-out). Dies passt hier selbstverständlich nicht, denn der USDienstleister darf hier von vornherein keine eigenen Nutzungsrechte haben.

Auch der Safe-Harbor -Grundsatz über die Informationspflichten des Datenempfängers passt nicht, denn Informationspflichten hat nach § 4 Abs. 3 oder

§ 33 BDSG nur der Auftraggeber (Datenexporteur). Aber andere Bestandteile der Safe-Harbor-Grundsätze, u.a. der Safe-Harbor Grundsatz über die Datensicherheit, müssen anwendbar sein, konkretisiert durch genaue vertragliche Vorgaben des Datenexporteurs.

Das Regierungspräsidium Darmstadt vertrat daher die Auffassung, dass der zweite Absatz der Antwort zu FAQ 10 in diesem Sinne einschränkend auszulegen ist. Soweit in dem zwischen dem EU-Datenexporteur und dem USDatenimporteur zu schließenden Vertrag abweichende bzw. strengere Regelungen im Hinblick auf den besonderen Charakter der "Auftragsverarbeitung" zu treffen sind, gehen diese insoweit den Safe -Harbor-Grundsätzen vor.

Wegen der grundsätzlichen Bedeutung hat das Regierungspräsidium Darmstadt diese Problematik in die Arbeitsgruppe "Internationaler Datenverkehr" des Düsseldorfer Kreises eingebracht, wo sich die Mitglieder der Interpretation des Regierungspräsidiums Darmstadt anschlossen. Zugleich wurde beschlossen, das Thema in die Art. 29-Gruppe einzubringen.

Im konkreten Fall bat das Unternehmen auch um datenschutzrechtliche Beratung zur Einschaltung eines "Subauftragnehmers" in den USA.

Hierzu gab das Regierungspräsidium Darmstadt folgende Empfehlung:

Wenn der US-Dienstleister einen Subunternehmer in den USA oder einem anderen Drittstaat einschalten will, müsste der deutsche Auftraggeber vertraglich, in dem an den Mustervertrag an § 11 BDSG angelehnten Vertrag, (siehe oben) regeln, dass dies nur mit der Zustimmung des Datenexporteurs zulässig ist. Zusätzlich dürften die Anforderungen von Satz 2 des Safe Harbor-Grundsatzes zur Datenweitergabe gelten. Vorsorglich sollte der deutsche Auftraggeber in der vertraglichen Regelung ausdrücklich diese Anforderungen regeln, also dass der Subunternehmer entweder selbst Safe Harbor-zertifiziert sein muss oder sich in einem Land mit angemessenem Datenschutzniveau befindet. Wenn diese Voraussetzungen nicht erfüllt sind, sollte der deutsche Auftraggeber die Zustimmung zur Einschaltung eines Subunternehmers nur erteilen, wenn der Subunternehmer bereit ist, mit dem Auftragnehmer den Standardvertrag vom Dezember 2001 zu schließen.

Verwendung der EU-Standardvertragsklauseln bei Datentransfer von/an unselbständige/r Niederlassung Will ein in Deutschland ansässiges Unternehmen personenbezogene Daten an eine in einem Drittstaat befindliche unselbständige Zweigstelle desselben Unternehmens personenbezogene Daten weitergeben, liegt zwar keine "Übermittlung" i.S.d. § 3 Abs. 4 Nr. 3 BDSG vor, gleichwohl finden die besonderen Anforderungen der §§ 4b, 4c BDSG Anwendung (siehe hierzu ausführlich unter Nr. 7.1 des Fünfzehnten Berichtes der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, Drs. 15/4659).

Gleiches muss für den spiegelbildlichen Fall gelten, wenn von einer unselbständigen Zweigstelle in Deutschland personenbezogene Daten an das in einem Drittstaat ansässige Unternehmen, dem die Zweigstelle zugehört, weitergegeben werden.

Das Regierungspräsidium Darmstadt hat mehrfach Anfragen von betrieblichen Datenschutzbeauftragten erhalten, wie denn in solchen Fallkonstellationen die Anforderungen der §§ 4b, 4c BDSG konkret erfüllt werden könnten.

Insbesondere wurde die Frage gestellt, ob auch in solchen Fällen die EUStandardvertragsklauseln verwendet werden können. Der Abschluss eines EU-Standardvertrags mit einer unselbständigen Zweigstelle wurde verständlicherweise als problematisch angesehen, da ein Vertragsschluss dann ein unzulässiges In-sich-Geschäft darstellen würde.

Die Aufsichtsbehörde vertrat die Auffassung, dass die EU Standardvertragsklauseln inhaltlich durchaus verwendet werden könnten, es muss nur ein anderer Weg gefunden werden, um diese rechtliche Verbindlichkeit, vor allem auch zugunsten der vom Datentransfer betroffenen Personen, zu verschaffen.

Dies hat sich an den Anforderungen zu orientieren, welche die Artikel 29 Gruppe zur Herstellung der internen und externen Verbindlichkeit von Unternehmensregeln zum Drittstaatentransfer aufgestellt hat (Nr. 5 des Arbeitspapiers 108, im Internet abrufbar unter: http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp108

_de.pdf).

Zur Herstellung der externen Verbindlichkeit bietet sich vor allem eine einseitige zugangsbedürftige, aber nicht annahmebedürftige, Garantieerklärung durch den Datenimporteur bzw. das Unternehmen (da ja eine rechtliche Einheit besteht) an, durch welche ein Garantievertrag mit den betroffenen Datensubjekten zustande käme. Dies könnte erfolgen, indem die Standardvertragsklauseln nebst entsprechender Erklärung, sich an diese zu halten, in das Internet oder Intranet gestellt werden (je nach betroffenem Personen

kreis) oder in sonstiger Weise gegenüber den betroffenen Personen zugänglich gemacht werden.

Diese Rechtsauffassung des Regierungspräsidiums Darmstadt wurde auch von den Mitgliedern der Arbeitsgruppe "Internationaler Datenverkehr" des Düsseldorfer Kreises geteilt.

Die Vorteile der Standardvertragsklauseln können also auch in den beschriebenen Sonderfällen genutzt werden. Es besteht weder eine Genehmigungsnoch eine Vorlagepflicht (siehe Nr. 7.2 des Fünfzehnten Berichtes der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, Drs. 15/4659).

EU-Standardvertragsklauseln vom Dezember 2004

Am 27. Dezember 2004 hat die EU-Kommission die von sieben Unternehmensverbänden vorgeschlagenen alternativen Standardvertragsklauseln für den internationalen Datentransfer zur Gewährleistung ausreichender Datenschutzgarantien anerkannt.

Auf Grund entsprechender Beratungsanfragen betrieblicher Datenschutzbeauftragter beschäftigte sich das Regierungspräsidium Darmstadt hier u.a. mit der Frage, ob diese alternativen Standardvertragsklauseln zur Anwendung kommen können, wenn ein in Deutschland ansässiges Unternehmen sich zur Verarbeitung personenbezogener Daten eines Datenverarbeitungsdienstleisters in einem Drittstaat bedienen will.

Wie unter Nr. 7.2 des Fünfzehnten Berichtes der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden (Drs. 15/4659), ausgeführt wurde, sind für solche Fälle die mit Entscheidung der EU-Kommission vom 27. Dezember 2001 verabschiedeten Standardvertragsklauseln vorgesehen.

Für die Fälle, bei denen der Datenempfänger im Drittstaat nicht nur als weisungsgebundener Datenverarbeitungsdienstleister tätig wird, sondern darüber hinausgehende Aufgaben und Kompetenzen erhält, kommen dagegen die von der EU-Kommission am 15. Juni 2001 verabschiedeten Standardvertragsklauseln in Betracht.

Der Standardvertrag vom Dezember 2004 stellt nur eine Alternative zum Standardvertrag vom Juni 2001 dar, also für den Fall, dass der Datenimporteur als eigenständige verantwortliche Stelle agiert. Dies ergibt sich daraus, dass mit der betreffenden Entscheidung der EU-Kommission auf die Kommissionsentscheidung vom Juni 2001 Bezug genommen wird, die damit abgeändert wird. Auch die Überschrift der Klauseln macht deutlich, dass diese nicht für Übermittlungen an einen bloßen Datenverarbeitungsdienstleister genutzt werden können (siehe auch Kuner/Hladjik, RDV 2005, S. 193 (195)).

12. Arbeitnehmerdatenschutz

Videoüberwachung in einer Produktionsstätte Anlässlich einer Beschwerde über die in den Werkshallen angebrachten Videokameras wurde ein Metall verarbeitender Betrieb einer Überprüfung nach § 38 BDSG unterzogen, bei der folgende Feststellungen getroffen wurden:

Das Betriebsgelände und die Werkshallen werden durch insgesamt 4 Videokameras, eine am Eingang zum Verwaltungsgebäude und drei in den zwei Werkshallen, überwacht. Die Aufzeichnung läuft durchgehend eine Woche und wird dann überspielt. Der Monitor steht in der Verwaltung, ist allerdings in der Regel, z. B. auch während der Überpr üfung, ausgeschaltet.

Die Anschaffung der Videokameras erfolgte, nachdem mehrere Diebstähle von Silber und Nickel in großen Mengen und von beträchtlichem Wert vorgekommen waren. Die Versicherung hatte angekündigt, die künftige Beitragsfestsetzung und Schadensregulierung von der Erweiterung der Einbruchmeldeanlage mit Videotechnik abhängig zu machen.