Die neuen Standardvertragsklauseln zur Datenverarbeitung innerhalb der EU

In diesem Beitrag erfahren Sie, was es mit den neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) der EU-Kommission für die Datenverarbeitung innerhalb der EU auf sich hat – und warum sich ein Update Ihrer AVV lohnen kann.

Worum geht’s?

Nachdem „Schrems II“ und das Ende des Privacy-Shield-Abkommens einige Unsicherheit in die Welt des Datenschutzes brachten, hatte die EU-Kommission im vergangenen Sommer neue Standardvertragsklauseln für die Datenübertragung in Drittstaaten veröffentlicht. Alles Wichtige dazu erfahren Sie in diesem Beitrag.

Gleichzeitig hat die Kommission auch neue Standardvertragsklauseln für die Auftragsverarbeitung innerhalb der EU gemäß Art. 28 Abs. 7 DSGVO veröffentlicht. Zwar sind diese Standardvertragsklauseln nicht zwingend zu nutzen – im Gegensatz zu den SCC für Verarbeitungen mit Drittstaatenkontext. Dieses Angebot der EU-Kommission ist jedoch sehr interessant für kleine und mittelständische IT-Unternehmen, da es Ihrem Unternehmen die Möglichkeit bietet, ohne Zweifel auf der rechtlich sicheren Seite zu stehen.

Was steht drin?

Inhaltlich erinnern Klauseln deutlich an die AVV-Musterverträge verschiedener Verbände, die bereits seit einigen Jahren zur Verfügung gestellt wurden. Die Kommission hat jedoch ein paar relevante Anpassungen vorgenommen.

Vorteil der Entscheidung der Kommission ist, dass die veröffentlichten Regelungen nicht völlig unbekannt, bzw. zu einem großen Teil bereits in Gebrauch sind. Außerdem halten sich die Anforderungen an die Vereinbarung neuer AVVs auf einem moderaten Niveau. Schon seit langem wurden Standardmuster verwendet, die die Vertragsverhandlungen vereinfachten, da sich die meisten Klauseln in den AVVs der Parteien glichen. Diese Muster waren jedoch nicht durch die EU-Kommission abgesegnet.

Mit den neuen Standardvertragsklauseln für die Auftragsverarbeitung stellt die Kommission nun ein Muster zur Verfügung, mit dem die Anforderungen des Art. 28 DSGVO offiziell erfüllt werden. Wenn Sie dieses Muster für Ihre AVVs verwenden, sind Sie rechtlich auf der sicheren Seite – und laufen Sie keine Gefahr, eine Rüge wegen Nichteinhaltung des Art. 28 DSGVO zu erhalten.

Daneben vereinfach die Entscheidung der Kommission auch Ihre zukünftigen Vertragsverhandlungen, da Ihr IT-Unternehmen bei Beschwerden darauf hinweisen kann, dass die Regelungen direkt von der Europäischen Kommission kommen.

Was gibt es zu beachten?

Wenn Sie ein übliches Standardmuster für Ihre AVVs verwendet haben, können viele Ihrer Klauseln so bestehen bleiben. Ein paar Änderungen sollten Sie jedoch beachten.

Neu ist unter anderem, dass die Prüfung des Datenschutzniveaus im Drittland (sofern eine Übertragung in ein Drittland vorliegt) nun als explizite Pflicht in den Standardvertragsklauseln enthalten ist. Bei Übermittlung personenbezogener Daten mittels Standardvertragsklauseln müssen die Datenexporteure zukünftig also selbst bewerten, ob im Empfängerland ein angemessenes Schutzniveau für die vom Transfer betroffenen Daten gewährleistet ist. Zu bewerten ist, ob das konkrete Schutzniveau im jeweiligen Fall angemessen ist.

Darüberhinaus beinhalten die neuen Standardvertragsklauseln für Auftragsverarbeitung einerseits Bestimmungen, welche zwingend einzuhalten sind, und andererseits Module, unter denen gewählt werden kann – je nach Konstellation zwischen Verantwortlichem, Auftragsverarbeiter und Unterauftragsverarbeiter. Hier sind die Variationen allerdings begrenzt. Wie gut sich die SCC auf sehr komplexe Datenverarbeitungen in der Praxis anwenden lassen, bleibt abzuwarten. Denn Klausel 2 der neuen Standardvertragsklauseln verbietet jegliche Änderung der Klauseln – insofern sollten Sie bestehende AVVs genau mit den SCC für Auftragsverarbeitung abgleichen, wenn Sie sie aktualisieren wollen.

Zu guter Letzt sei gesagt, dass sich aus den neuen Standardvertragsklauseln für Auftragsverarbeitung durchaus unterschiedliche Arten der Datenverarbeitung regeln lassen. Außerdem ermöglichen die neuen Standardvertragsklauseln nun auch den nachträglichen Beitritt weiterer Verantwortlicher und Auftragsverarbeiter.

Es bietet sich für Ihr IT-Unternehmen also durchaus an, Ihren AVVs die neuen Standardvertragsklauseln zugrunde zu legen und durch Zusatzvereinbarungen zu ergänzen – auch unter Beachtung des Klauseländerungsverbots der Klausel 2.

Wir nehmen’s genau mit Ihren AVV!

Wir hoffen, dass Sie in unserem Blog-Beitrag alles Wichtige erfahren haben, um sich ein gutes Bild über die neuen Standardvertragsklauseln zur Auftragsverarbeitung innerhalb der EU zu machen.

Haben Sie Fragen oder Anmerkungen zu den neuen Standardvertragsklauseln der EU-Kommission zur Datenverarbeitung innerhalb der EU, oder zu unseren Leistungen und Angeboten? Nehmen Sie jederzeit gerne Kontakt zu uns auf!

Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de