Seit der Entscheidung des Europäischen Gerichtshofes zum Privacy Shield (C-311/ 18, Schrems II) sind die Standardvertragsklauseln in aller Munde. Diese sind jedoch nicht nur für den Drittlandtransfer relevant, sondern können auch im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO (diesbezüglich seit Inkrafttreten der DSGVO „Standarddatenschutzklauseln“ genannt) eine Rolle spielen. Die Unterschiede werden wir im Folgenden beleuchten.
Der Inhalt im Überblick
Standardvertragsklauseln für den Drittlandtransfer
Im Zusammenhang mit dem Urteil des EuGH zum Privacy Shield sind die Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach Art. 26 Abs. 2 der Richtlinie 95/46/EG gemeint, die gem. Art. 46 Abs. 5 DSGVO ihre Gültigkeit beibehalten haben.
Standarddatenschutzklauseln nach Art. 28 DSGVO
Bezugspunkt der Standarddatenschutzklauseln nach Art. 28 DSGVO sind die von Art. 28 Abs. 3 und 4 DSGVO aufgeworfenen Fragen. Es geht also um die inhaltlichen Voraussetzungen der Auftragsverarbeitung.
Folglich handelt es sich bei den Standarddatenschutzklauseln im Rahmen von Art. 28 DSGVO um eine andere Art von Klauseln. Lediglich die Bezeichnung ist im Gesetzestext dieselbe, was, verständlicherweise, zu Verwirrungen führen kann.
Was sind die rechtliche Grundlagen?
Werden personenbezogene Daten lediglich im Auftrag des Verantwortlichen verarbeitet, ist nach Art. 28 Abs. 1 DSGVO ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter erforderlich, der die Rechtsverhältnisse im Hinblick auf die Datenverarbeitung regelt und bestimmten Anforderungen zu entsprechen hat.
Unbeschadet der Möglichkeit, einen individuellen Vertrag abzuschließen, kann ein solcher Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 6 DSGVO auch auf Standarddatenschutzklauseln beruhen. Die Rechte und Pflichten der Parteien können folglich durch die Übernahme entsprechender Klauseln festgelegt werden. Die Standarddatenschutzklauseln im Rahmen von Art. 28 DSGVO können gemäß Absatz 7 von der Kommission im Einklang mit dem Prüfverfahren oder gemäß Absatz 8 von einer Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren nach Art. 63 DSGVO festgelegt werden.
In Erwägungsgrund 81 heißt es:
„Der Verantwortliche und der Auftragsverarbeiter können entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.“
Wurde von dieser Möglichkeit bereits Gebrauch gemacht?
Von der Möglichkeit im Rahmen von Art. 28 DSGVO Standarddatenschutzklauseln zu verwenden hat die dänische und die slowenische Aufsichtsbehörde Gebrauch gemacht. Die dänische Aufsichtsbehörde hat 2019 dem Europäischen Datenschutzausschuss (EDSA) einen Entwurf für Standarddatenschutzklauseln vorgelegt. Der EDSA hat am 9.7.2019 zu dem Entwurf eine eigene Stellungnahme mit Änderungsvorschlägen abgeben. Am 11.12.2019 hat der EDSA den finalen Entwurf, deren Änderungen zuvor von der dänischen Aufsichtsbehörde akzeptiert wurden, in sein Entscheidungsregister mit aufgenommen. Den Entwurfes der slowenischen Aufsichtsbehörde hat die EDSA in ihrer Stellungnahme vom 19.05.2020 angenommen.
Diese Standarddatenschutzklauseln zur Auftragsverarbeitung werden zukünftig als Orientierung dienen, bei Bedarf können sie aber auch abgeändert oder erweitert werden.
Vor- und Nachteile solcher Standarddatenschutzklauseln
Die Vorteile der Standarddatenschutzklauseln im Rahmen der Auftragsverarbeitung sind vordergründig. Die Vereinbarung einer Auftragsverarbeitung ist mit einem hohen Aufwand verbunden. Einen entsprechenden Vertrag bzw. ein anderes Rechtsinstrument zu erstellen ist aufwändig und kann dementsprechend hohe Kosten verursachen. Verwenden die Parteien dagegen Standarddatenschutzklauseln, kann ihnen dieser Aufwand zum Teil oder sogar ganz erspart bleiben. Folglich lassen sich durch die Verwendung von Standarddatenschutzklauseln Arbeitsabläufe optimieren, was ein effektiveres Wirtschaften der an der Auftragsverarbeitung beteiligten Personen bedingt.
Allerdings steht dem auch ein gewichtiger Nachteil gegenüber. Standarddatenschutzklauseln sind aus sich heraus nicht für eine Konkretisierung und Individualisierung geeignet, es sei denn, sie werden sehr stark bereichsspezifisch definiert. Es stellt sich daher die Anschlussfrage der Zukunftsfähigkeit solcher Standarddatenschutzklauselnklauseln.
Zukunftsfähigkeit dieser Standarddatenschutzklauseln
Die Verwendung von Standarddatenschutzklauseln im Rahmen von Art. 28 DSGVO ist, aufgrund ihrer Vorteile, insbesondere aus unternehmerischen Gesichtspunkten besonders attraktiv. Aufgrund des dargestellten Nachteils sind am ehesten solche Standarddatenschutzklauseln zukunftsfähig, die stark den Charakter eines auszufüllenden Formulars (template) haben und sachbereichsspezifisch differenziert sind.
Die Verwendung von Standarddatenschutzklauseln stellt somit durchaus eine zukunftsfähige Alternative zum Abschluss von individuelle Auftragsverarbeitungsverträgen dar. Es wird sich zeigen, ob sich diese Möglichkeit auch bald bei uns durchsetzt.
Seit der DSGVO heißen die StandardVERTRAGSklauseln eigentlich StandardDATENSCHUTZklauseln (selbst wenn die Artt. 28, 57 und die Erwägungsgründe 81 und 168 diese noch anders benennen).
Dann sollte man auf diesen Umstand im Artikel auch besser hinweisen.
Danke für den Hinweis wir haben den Beitrag bezüglich Art. 28 DSGVO entsprechend angepasst. Die nach Artikel 26 Absatz 2 der Richtlinie 95/46/EG erlassen Standardvertragsklauseln bleiben nach Art. 46 Abs. 5 DSGVO in Kraft und heißen daher auch weiterhin so. Nach der DSGVO können nun Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c erlassen werden und würden Standardvertragsklauseln dann ablösen.
Ich bin etwas überrascht, dass der Beitrag keinerlei Bezug zum gerade nach Art. 28 Abs. 7 vorgeschlagenen Entwurf der Kommission nimmt, der zur Zeit kommentiert werden kann, siehe https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12740-Commission-Implementing-Decision-on-standard-contractual-clauses-between-controllers-and-processors-located-in-the-EU
Danke für den Hinweis. Der Verfasser hat sich jedoch auf die Darstellung des derzeitigen Zustandes beschränkt, da diesbezüglich noch keine Entscheidung getroffen wurde.