Wann ist ein Abschluss eines AVV nötig?

Ausführliche Informationen zu AV-Verträgen finden Sie in unserem Blog.

Braucht man auch dann SCCs, DPAs etc. mit US-Dienstleistern, wenn eine deutsche GmbH mit der amerikanischen Muttergesellschaft ein (konzerninternes) Data-Protection Agreement abgeschlossen hat?

Begriffsklärungen:

Die englische Abkürzung „SCC“ für Standard Contract Clauses können also für beides stehen: für standardisierte AV-Verträge oder für die von der EU vorgegebenen Standarddatenschutzklauseln (z.B. unterschiedet die EU-Kommission hier begrifflich nicht).

Inhaltlich sind das völlig verschiedene Dinge!

Zur Beantwortung der Frage ist zuerst die Klarstellung des konkreten Datenflusses entscheidend.

Fließen die Daten von der deutschen GmbH direkt an einen US-Dienstleister gelten selbstverständlich die von Art. 44 ff. DSGVO aufgestellten Voraussetzungen, d.h. SDKs (englisch: SCCs) sind notwendig.

Fließen die Daten erst von der deutschen GmbH an die Muttergesellschaft in die USA, handelt es sich bei jeder weiteren Übermittlung von der Muttergesellschaft an US-Dienstleister um US-interne Übermittlungen, sodass Art. 44 ff. DSGVO für diese Übermittlungen nicht zur Anwendung kommen.

Jedoch ist – wie Erw. 48 S. 2 DSGVO klarstellt – zu beachten, dass die Datenübermittlung an die amerikanische Muttergesellschaft selbst eine Drittlands-Übermittlung darstellt. Demnach reicht ein einfacher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO nicht aus. Da es sich um eine konzerninterne Übertragung handelt, könnten „verbindliche interne Datenschutzvorschriften“ gem. Art. 46 Abs. 2 lit. b DSGVO, Art. 47 DSGVO aufgestellt werden. Diese müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt werden. Ob eine solche Genehmigung im Hinblick auf die Unsicherheiten bei US-Unternehmen erteilt wird, ist fraglich.

Bei Abschluss von SCCs:

Hier bestehen die erwähnten Unsicherheiten, ob der Abschluss von SCCs ausreichend ist, um die Voraussetzungen von Artikel 46 Abs. 1 DSGVO entsprechend Schrems II (C‑311/18) zu erfüllen:

In der Entscheidung bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“

Daher der Hinweis: Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen.

Wir raten - wenn eine Übertragung an Dienstleister stattfindet:

SCC prüfen und

alle Vorgaben einhalten, die bei einer Übermittlung personenbezogener Daten in ein Drittland notwendig sind.

Stand: 09.11.2022