Blog > Auftragsverarbeiter und Drittstaatenexporte: Neue EU Standardvertragsklauseln >

Auftragsverarbeiter und Drittstaatenexporte: Neue EU Standardvertragsklauseln

Die Europäische Kommission hat Entwürfe neuer Standardvertragsklauseln für Datenexporte in Drittstaaten sowie für Verträge zwischen Verantwortlichen und Auftragsverarbeitern innerhalb der EU zur Begutachtung vorgelegt. Die bestehenden Klauseln für Datenexporte sollen damit ersetzt und neue Standards für Vereinbarungen zwischen Verantwortlichen und Auftragsverarbeitern etabliert werden.

Standarddatenschutzklauseln der EU Kommission sind schon bisher ein etabliertes Instrument zur Absicherung eines angemessenen Datenschutzniveaus für Datenexporte in Drittstaaten außerhalb des Europäischen Wirtschaftsraums. Diese Klauseln sind inzwischen jedoch deutlich in die Jahre gekommen, beruhen sie doch noch auf der alten Datenschutzrichtlinie und nicht auf der DSGVO. Eine Aktualisierung ist daher bereits aus diesem Grund begrüßenswert.
Neben diesen in der Praxis bereits gut etablierten Klauseln hat die EU Kommission aber auch Entwürfe für neue Standardklauseln für Auftragsverarbeitungsvereinbarungen (AVV), also für das Vertragsverhältnis zwischen Verantwortlichen und Auftragsverarbeitern (Art 28 DSGVO) zur Begutachtung vorgelegt.

Standardklauseln für Auftragsverarbeiter

Der Entwurf der Standardklauseln für Auftragsverarbeiter führt den risikobasierten Ansatz der DSGVO konsequent fort. So sollen die von den jeweiligen Dienstleistern umzusetzenden technischen und organisatorischen Datenschutzmaßnahmen (TOMs) anhand einer entsprechenden Risikoanalyse der jeweiligen Datenverarbeitung festgelegt werden.
Auch die Dokumentations- und Nachweispflichten der DSGVO sind im Entwurfstext prominent abgebildet. So sollen die Vertragsparteien jeweils in der Lage sein ihre Einhaltung der Standardklauseln entsprechend nachzuweisen. Auftragsverarbeiter müssen den Verantwortlichen alle dazu erforderlichen Informationen vorlegen und beide Vertragspartner verpflichten sich, diese Informationen auf Verlangen auch gegenüber der zuständigen Datenschutzbehörde offenzulegen. Selbiges gilt auch für allfällige Überprüfungsergebnisse von Datenschutzaudits oder anderen Prüfmaßnahmen.

Die Mitwirkungspflichten der Auftragsverarbeiter bei der Erfüllung der Betroffenenrechte, im Falle von Datenschutzverletzungen, bei Datenschutz-Folgeabschätzungen und allfälligen Konsultationen der Datenschutzbehörde sollen in Form entsprechender konkreter technischer und organisatorischer Maßnahmen ebenfalls bereits im Vertragstext ausdrücklich festgelegt werden.

Zusätzliche Vertragsbestimmungen können in einem weitergehenden Vertrag vereinbart werden, dürfen den Inhalten der Standardklauseln aber nicht widersprechen. Den Standardklauseln kommt entsprechend bei der Auslegung Vorrang zu. Sie dürfen von den Vertragsparteien auch nur an den dafür vorgesehenen Stellen verändert werden. Dies ist vor allem in den Anhängen vorgesehen, in denen die Details der Datenverarbeitung, der betroffenen personenbezogenen Daten sowie die erforderlichen technischen und organisatorischen Maßnahmen geregelt werden sollen.

Auch für diese Detailangaben der TOMs enthält der Entwurf bereits ausführliche Angaben, welche Aspekte darin von den Vertragsparteien geregelt werden sollen. Auch hier wird künftig offenbar ein höherer Grad an Präzision erwartet, als dies in vielen derzeit kursierenden Varianten von Auftragsverarbeitungsvereinbarungen der Fall ist.

Flexibilität beweist der Entwurf im Hinblick auf die Vertragsparteien. So soll es auch nach dem Abschluss der Vereinbarung weiterhin möglich sein, dass weitere Auftragsverarbeiter und Verantwortliche dem bereits geschlossenen Vertrag beitreten. Die entsprechenden Angaben in den jeweiligen Anhängen können laufend nach Bedarf ergänzt bzw. adaptiert werden. Ebenso ist die Liste allfälliger Sub-Auftragsverarbeiter jeweils an den aktuellen Stand anzupassen.

Hinsichtlich Datenexporten ist in den vorgeschlagenen Klauseln vorgesehen, dass Auftragsverarbeiter personenbezogene Daten an ihre Sub-Auftragsverarbeiter in Drittstaaten außerhalb der EU auf der rechtlichen Basis von Standardvertragsklauseln übermitteln dürfen. Dies ist dann möglich, wenn die Beiziehung des Sub-Auftragsverarbeiters vom Verantwortlichen genehmigt wurde und alle Voraussetzungen für die Nutzung von Datenexport-Standardvertragsklauseln erfüllt sind.

Standardklauseln für Datenexporte

Der Entwurf der Standardklauseln für Datenexporte in Drittstaaten ohne angemessenes Datenschutzniveau ist modular aufgebaut. Anstatt den bisher bestehenden zwei Varianten (eine für den Export an Verantwortliche, eine für den Export an Auftragsverarbeiter) soll künftig nur mehr ein Set an Standardklauseln bestehen, aus dem je nach Verarbeitungssituation die anwendbaren Text-Module ausgewählt werden können.

Dabei sieht der Entwurf vier unterschiedliche Verarbeitungssituationen vor:

  • Datentransfer von EU-Verantwortlichem zu Drittstaat-Verantwortlichem
  • Datentransfer von EU-Verantwortlichem zu Drittstaat-Auftragsverarbeiter
  • Datentransfer von EU-Auftragsverarbeiter zu Drittstaat-Auftragsverarbeiter
  • Datentransfer von EU-Auftragsverarbeiter zu Drittstaat-Verantwortlichem

Da die Standardklauseln natürlich nur die Datenschutzaspekte der Beziehung zwischen den beteiligten Akteuren regeln können, dürfen sie in einen umfangreicheren Vertrag eingebunden werden. Dabei werden die Parteien darin bestärkt auch entsprechende Zusatzmaßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus zu vereinbaren (sh. dazu den Bericht über die Empfehlungen des Europäischen Datenschutzausschusses im Datenschutzbrief 11/2020).

Derartige vertragliche Bestimmungen dürfen den Standardklauseln jedoch nicht widersprechen oder die Rechte der Betroffenen präjudizieren.

Anwendbar sollen die Datenexport-Standardklauseln auch für Verantwortliche und Auftragsverarbeiter außerhalb der EU sein, die aufgrund des Marktortprinzips der DSGVO unterliegen. Dies ist dann der Fall, wenn aus einem Drittstaat heraus Daten von Betroffenen in der EU verarbeitet werden werden (siehe Art 3 DSGVO).

Werden die Standardklauseln zwischen einem Verantwortlichen in der EU und einem Auftragsverarbeiter in einem Drittstaat abgeschlossen, so sollen sie gleichzeitig auch als Auftragsverarbeitungsvereinbarung zwischen diesen beiden Partnern gelten. Eine zusätzlich Vereinbarung muss dazu künftig also nicht mehr geschlossen werden.

Wie bereits bei den Auftragsverarbeiter-Standardklauseln können auch diese Datenexport-Standardklauseln zwischen mehr als zwei Vertragspartnern abgeschlossen werden. Ebenso können Verantwortliche und Auftragsverarbeiter auch nach Errichtung des Vertrages den Klauseln beitreten. Die entsprechenden Aufstellungen der Vertragspartner sind dabei jeweils entsprechend zu aktualisieren.

Für Betroffene sieht der Entwurf das Recht vor, eine Kopie der abgeschlossenen Standardklauseln zu erhalten und über Änderungen der vorgesehenen Datenempfänger informiert zu werden.

Datenübermittlungen vom ursprünglichen Empfänger zu weiteren Empfängern sollen durch Beitritt der weiteren Empfänger zu den Klauseln, auf Basis einer ausdrücklichen Einwilligung der Betroffenen oder anderer Schutzmaßnahmen möglich sein.

Betroffene sollen von den Standardklauseln als begünstigte Dritte („third-party beneficiaries“) umfasst sein. Damit erhalten sie die Möglichkeit sich unmittelbar auf die Standardklauseln zu berufen und deren Einhaltung durchsetzen zu können. Dazu müssen die Vertragsparteien einen Mitgliedsstaat der EU wählen, dessen Gerichte und Datenschutzbehörde für die Rechtsdurchsetzung zuständig sein sollen. Die Datenempfänger in Drittstaaten müssen sich dazu entsprechend bereits vorab den Entscheidungen dieser EU-Gerichte und -Behörden unterwerfen.

Für Betroffene haben Datenempfänger in Drittstaaten entsprechende Kontaktstellen bereitzuhalten, die rasch auf Anfragen reagieren können. Sollte auf diesem Wege keine Einigung zwischen Betroffenen und Datenempfänger hergestellt werden können, steht den Betroffenen der Weg zur Datenschutzbehörde bzw. zu Gericht offen.

Entsprechend der Schrems II Entscheidung des Europäischen Gerichtshofs und den entsprechenden Empfehlungen des Europäischen Datenschutzausschusses (siehe Datenschutzbrief 11/2020) müssen die Vertragsparteien auch spezifische zusätzliche Schutzmaßnahmen zur Prävention allfälliger Klausel-widriger Datenzugriffe auf Basis des nationalen Rechts des Empfängerlandes vorsehen.

Der Datentransfer und die Datenverarbeitung dürfen auf Basis der Standardklauseln nur erfolgen, wenn das Recht des Empfängerstaats den Importeur nicht an der Einhaltung der Standardklauseln hindert. Die Parteien müssen daher bestätigen, das geprüft zu haben und übereinstimmend festlegen, diese Überprüfung zu dokumentieren und auf Nachfrage der zuständigen Behörde zu übergeben.

In diesem Zusammenhang wird auch eine Art Warnsystem etabliert. Wenn eine Datenschutzbehörde oder ein Gericht eines Mitgliedsstaats den Datentransfer zu einem Drittstaat-Empfänger aufgrund der rechtlichen Situation in diesem Drittstaat untersagt, so muss dies umgehend der Europäischen Kommission mitgeteilt werden. Diese wiederum sorgt für eine entsprechende Information der übrigen Mitgliedsstaaten.

Ab Inkrafttreten der neuen Datenexport-Standardklauseln soll eine Übergangsfrist von einem Jahr gelten, in dem bereits bestehende Vereinbarungen auf Basis der bisherigen Standardvertragsklauseln auf die neuen Klauseln umgestellt werden können. Bei umfangreicheren Vertragsänderungen ist bereits vor Ablauf dieses Jahres auf die neuen Klauseln umzustellen.

Ausblick

Bei den vorgestellten Standardklauseln für Auftragsverarbeitungen und Datenexporte handelt es sich aktuell noch um Begutachtungsentwürfe. Die Begutachtungsfrist ist am 12.12.2020 abgelaufen. Nun wird die Europäische Kommission die erhaltenen Stellungnahmen auswerten und gegebenenfalls noch Anpassungen an den Texten vornehmen. Sobald aktualisierte Fassungen vorliegen oder die finalen Texte beschlossen wurden, werden wir in diesem Blog und im Datenschutzbrief  wieder darüber informieren.

 

Datenschutz Online-Schulung

Newsletter

Für den Datenschutzbrief
anmelden >