Haftungsbegrenzung in den neuen SCC – rein kommerziell oder unzulässige Abweichung?

Bereits im Rahmen des Abschlusses der noch geltenden SCC war die Frage nach der Haftungsbegrenzung zwischen Exporteur und Importeur ein praktisch relevantes Thema. Zum Teil wurden SCC selbst angepasst, zum Teil wurde auf die Haftungsklausel in Hauptverträgen verwiesen.

Fraglich und meines Erachtens diskutabel ist, ob die nun von der EU-Kommission veröffentlichten Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO eine solche Haftungsbegrenzung erlauben. Die Antwort auf diese Frage dürfte gerade für Dienstleister als Auftragsverarbeiter elementar sein. Kann, im Fall des Verstoßes gegen den Vertrag oder die DSGVO, eine Haftung der verstoßenden Partei gegenüber dem Vertragspartner begrenzt werden? Es soll hier nicht um die Begrenzung von Schadenersatzansprüchen gegenüber Betroffenen gehen. Ich denke, es gibt diesbezüglich keine Diskussion, dass dies nicht möglich ist.

Ich meine, dass es wohl für beide Ansichten Argumente gibt. Nachfolgend möchte ich einige (mir schnell in den Sinn kommende) Argumente auflisten.

Pro Haftungsbegrenzung

Es soll allein die schuldrechtliche Haftung zwischen den Parteien begrenzt werden. Gegenüber Betroffenen erfolgt keine Begrenzung. Daher sind auch deren Rechte nicht beschränkt.

Nach ErwG 3 des Beschlusses der Kommission können Exporteur und Importeur ausdrücklich weitere Klauseln hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Begrenzung einer internen Haftung ist jedoch in den SCC nicht geregelt, womit auch kein Widerspruch besteht. Es handelt sich hierbei allein um eine „kommerzielle“ Regelung.

Contra Haftungsbegrenzung

Nach ErwG 14 des Beschlusses sollen die SCC Vorschriften über die Haftung zwischen den Parteien vorsehen. Also gerade die interne Haftung betreffend. Dann ist schwer zu argumentieren, dass eine solche Regelung rein „kommerziellen“ Charakter hat und von den SC nicht abweicht, wenn sie doch in dem Beschluss ausdrücklich als verpflichtender Bestandteil angesprochen ist.

Art. 12 SCC enthält ausdrücklich eine Klausel zur Haftung zwischen den Parteien (vergleiche in allen Modulen jeweils lit. a)). Dort ist keine Regelung für eine Begrenzung gegenüber dem Vertragspartner enthalten. Führt man eine solche Beschränkung aber ein, würde man von lit. a) abweichen.

Eine Haftungsbegrenzung könnte dazu führen, dass eine Partei (wegen des geringen finanziellen Risikos selbst bei Verstößen) ihre Pflichten aus dem Vertrag nicht so ernst nimmt, womit auch die Rechte der Betroffenen mittelbar beeinträchtigt sein könnten.

Aus meiner Sicht ein praktisch wahnsinnig relevantes und spannendes Thema, welches bei den nun anstehenden Abschlüssen der neuen SCC sicher auch für Diskussionen sorgt.

Scope of the new SCC – discussions about recital 7

Is it possible to transfer data to third countries without concluding SCC as long as the GDPR applies to processing by the recipient? A closer look at recital 7 of the new SCC decision by Philipp Quiel & me.

Sentence 2 and 3 of recital 7 of the European Commissions’ newly released SCC (Decision (EU) 2021/914) for the GDPR have raised one heavily debated and not so easy to answer question stipulating from the scope of applicability of the SCC referred to in recital 7. This question is the following: is it possible to transfer data to third countries without concluding SCC as long as the GDPR applies?

You can download the full article here (PDF).

Länderübergreifende Kontrolle der deutschen Aufsichtsbehörden zur Umsetzung der SchremsII-Entscheidung

Wie heute bekannt wurde (Pressemitteilung der Berliner Behörde, PDF), führen die deutschen Aufsichtsbehörden gemeinsam abgestimmte Kontrollen zur Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen mithilfe von fünf verschiedenen Fragebögen in fünf Themenkomplexen durch. Jede Behörde entscheidet individuell, in welchen dieser Themenfelder sie durch Versenden der Fragebögen tätig wird und an welche Unternehmen sie herantritt. Daher kann es sein, dass manche Behörden nur einen oder wenige Fragebögen wirklich nutzen und andere wiederrum alle Fragebögen versenden. Die wie im Folgenden aufgeführt bezeichneten Fragebögen sind unter folgenden Links abrufbar:

Innerhalb dieses Blogbeitrags möchte ich auf einige Themen näher eingehen, die bei einer ersten groben Durchsicht der Fragebögen aufgefallen sind.

Selbstbezichtigungsfreiheit vs. Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden

Anders als bei manch anderen Fragebögen, die in der Vergangenheit versendet wurden (siehe bspw. zum Fragebogen der Thüringer Behörde zu Webseiten hier), enthalten die öffentlich verfügbaren Versionen keinen Hinweis darauf, ob die Beantwortung der Fragen freiwillig oder verpflichtend ist. Wahrscheinlich wird dies in den Begleitschrieben der Behörden näher erläutert.

Eine sehr allgemein gehaltene Pflicht von Unternehmen zur Zusammenarbeit mit den Aufsichtsbehörden ist in Art. 31 DSGVO geregelt. Wie weit diese Pflicht reicht, ist derzeit noch vollkommen unklar. Sie wird nicht so ausgelegt werden können, dass Unternehmen sich selbst bezichtigen müssen. Dagegen sind Unternehmen nach dem nemo tenetur Grundsatz aus Art. 47 der Charta der Grundrechte der Europäischen Union geschützt. Hierbei ist jedoch zu beachten, dass der EuGH in mehreren Fällen geurteilt hat, dass die Beantwortung von Tatsachenfragen dem nemo tenetur Prinzip nicht entgegensteht (siehe bspw. EuGH, Rs. T-112/98, Rn. 78 zur Beantwortung von Tatsachenfragen ggü. der Kommission) und Unternehmen auch dann zur Beantwortung solcher Fragen verpflichtet sind, wenn die Antworten für sie selbstbelastend wirken. Dies wird man auch auf die Fragen der deutschen Behörden übertragen müssen, soweit sie sich ausschließlich auf Tatsachen beziehen.

Anderes gilt ggf. für Fragen, bei denen die Behörden nicht nach Tatsachen fragen. So z.B. in Frage 9 des Fragebogens zum E-Mail-Versand / Frage 12 zum Hosting / Frage 11 zum Webtracking / Frage 9 zu Bewerberportalen, in welcher um eine Beschreibung der Gründe für die Rechtmäßigkeit der Verwendung von Standardvertragsklauseln und nach Nachweisen gefragt wird. Innerhalb des Fragebogens zum konzerninternen Datenverkehr wird für den Fall, dass Unternehmen zum Schluss gelangt sind, dass der Empfänger im Drittland die Pflichten aus Standardvertragsklauseln erfüllen kann, nach Gründen für die Schlussfolgerung und Nachweisen gefragt (Frage 8).

Fragen zum Verzeichnis von Verarbeitungstätigkeiten

Die Fragen der verschiedenen Bögen überschneiden sich zum Teil. So wird in jedem Fall nach den Rollen von Dienstleistern (Auftragsverarbeiter oder gemeinsam Verantwortlicher) und nach einem Auszug aus dem Verzeichnis von Verarbeitungstätigkeiten gefragt. Zu Letzterem sind Unternehmen nach Art. 30 Abs. 4 DSGVO verpflichtet. Hierbei sollten Unternehmen beachten, dass von der Frage nach dem Verzeichnis nicht nur die Zusammenarbeit mit Dienstleistern betroffen ist, sondern bspw. nach den „die den Einsatz des Internetangebots betreffenden Teilen“ oder nach „den Betrieb der WWW-Seiten betreffenden Teilen“ gefragt wird. Nach meinem Verständnis meint dies in den beiden zitierten Fällen alle Einträge im Verzeichnis, die eine auf der Website erfolgende Datenverarbeitung betreffen. Man könnte mutmaßen, dass die Behörden sich durch diese weiteren Informationen aus dem Verzeichnis eine noch weiterreichende Prüfung von Websites ermöglichen wollen. Unternehmen sollten ihr Verzeichnis definitiv noch einmal prüfen, bevor sie es als Bestandteil einer Antwort an die Behörde herausgeben.

Frage nach einer möglichen Kenntnisnahme von Daten im Drittland

Innerhalb aller Fragebögen möchten die Behörden von Unternehmen eine Antwort auf die folgende Frage erhalten:

Sofern die (mögliche) Kenntnisnahme der personenbezogenen Daten in den USA erfolgt, unterfallen Sie oder ein Empfänger der Section 702 des Foreign Intelligence Surveillance Act (FISA) der USA, der US-Behörden Zugang zu den Daten bei Anbietern elektronischer Kommunikationsdienste ermöglicht?

Im Fragebogen zum konzerninternen Datenverkehr heißt es außerdem wie folgt:

Bitte beachten Sie, dass es sich auch schon dann um eine Übermittlung im Sinne des Kapitel V DSGVO handelt, wenn Daten, die z.B. in Deutschland gespeichert sind, von einer in einem Drittland befindlichen Person per Fernzugriff aufgerufen werden können.

Hierbei fällt auf, dass die Aufsichtsbehörden wiederholt auf eine „mögliche“ Kenntnisnahme und auf einen möglichen Fernzugriff für eine „Übermittlung“ abstellen. In der DSGVO gibt es jedoch keinerlei Anhaltspunkte dafür, dass bereits eine rein mögliche, aber nicht tatsächlich erfolgende Kenntnisnahme oder ein solch theoretisch möglicher Fernzugriff eine Datenübermittlung ist. Folglich ist es fragwürdig, was die Behörden aus der Antwort auf Ihre Frage machen möchten. Es ist zumindest denkbar, dass Unternehmen auf die Frage mit „ja“ antworten, für sie aber mangels einer tatsächlich erfolgten Übermittlung die Vorgaben der DSGVO zu Datenübermittlungen jedoch überhaupt nicht gelten und daher für den Dienstleister die Pflichten aus den SCC in Bezug auf die rein theoretische Übermittlung nicht gelten.

Frage zur Änderung der Rechtslage

Grundsätzlich gibt es bei den Fragebögen vielfach Überschneidungen. Innerhalb des Fragebogens zu Bewerberportalen und jenem zum konzerninternen Datenverkehr ist interessanterweise eine Frage zu Datenübermittlungen enthalten, die nicht in den anderen Bögen aufgeführt ist und wie folgt lautet:

Da sich die Rechtslage im Drittland ändern kann: Wie stellen Sie eine schnelle Reaktion und datenschutzkonforme Anpassung an neue Gegebenheiten sicher? Beschreiben Sie insbesondere den Melde- und den Reaktionsprozess zwischen Ihrem Unternehmen und dem Empfänger im Drittland.“

Die Frage wird für Unternehmen (zumindest auf dem Papier) einfach zu beantworten sein. Innerhalb der SCC gibt es eine Pflicht des im Drittland ansässigen Datenverarbeitenden, das in der EU ansässige Unternehmen über Änderungen in der Rechtslage zu informieren. Daher könnte es ausreichend sein, dass in einem in der Frage beschriebenen Fall die Kommunikation per E-Mail erfolgt und die Parteien in so einem Fall zusammenkommen und die Notwendigkeit prüfen, zusätzliche Maßnahmen für Datenübermittlungen zu vereinbaren oder eine zuständige Aufsichtsbehörde zu kontaktieren.

Frage nach geplanten Maßnahmen und deren Umsetzungsplan

Innerhalb der Fragebögen wird für den Fall, dass die Umstellung auf andere Systeme geplant ist, um Auskunft dazu gebeten, auf welche Lösungen Umstellungen geplant sind, und um Mitteilung zum Stand der Umsetzung nebst Zeitplan für den Abschluss gebeten. Unternehmen sollten aus meiner Sicht bei der Beantwortung dieser Frage vorsichtig sein. Einerseits spricht die Frage an sich dafür, dass sich die Behörden auch derzeit noch mit einem Umsetzungsplan zufrieden geben könnten und nicht die abrupte Umstellung auf solche Anbieter fordern, die Daten ausschließlich in der EU oder dem EWR verarbeiten. Andererseits ist gut denkbar, dass die Behörden in einem zweiten „Schwung“ in Zukunft Unternehmen dazu befragen werden, wie weit die Umsetzung vorangeschritten ist.

Verwaltungsakt oder kein Verwaltungsakt?

Auch bei dieser Aktion stellt sich aus meiner Sicht wieder einmal die Frage, ob die Fragebögen und etwaige Begleitschreiben der Behörde ein Verwaltungsakt sind oder nicht. Oft versuchen Datenschutzbehörden noch einen Verwaltungsaktcharakter abzulehnen, etwa unter Hinweis auf eine fehlende Rechtsbehelfsbelehrung. Dies spielt aber für die Qualifikation als Verwaltungsakt keine entscheidende Rolle. Meines Erachtens sprechen gute Gründe dafür, dass entsprechende behördliche Anschreiben mit diesen Fragebögen als Verwaltungsakt zu qualifizieren sind. Auch das Verwaltungsgericht Mainz ging etwa in einem Urteil davon aus (Urt. v. 09.05.2019, 1 K 760/18.MZ), dass den Behörden eine entsprechende Verwaltungsaktbefugnis beim Versand eines Fragenkatalogs zusteht. Natürlich muss man dennoch das jeweilige Anschreiben und die dortigen Belehrungen sichten, um dann entscheiden zu können, ob die Merkmale eines Verwaltungsakts vorliegen.