Zum Inhalt springen Zur Navigation springen
Standarddatenschutzklauseln nach Art. 28 DSGVO

Standarddatenschutzklauseln nach Art. 28 DSGVO

Artikel von Dr. Datenschutz·16. November 2020

Seit der Entscheidung des Europäischen Gerichtshofes zum Privacy Shield (C-311/ 18, Schrems II) sind die Standardvertragsklauseln in aller Munde. Diese sind jedoch nicht nur für den Drittlandtransfer relevant, sondern können auch im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO (diesbezüglich seit Inkrafttreten der DSGVO „Standarddatenschutzklauseln“ genannt) eine Rolle spielen. Die Unterschiede werden wir im Folgenden beleuchten.

Standardvertragsklauseln für den Drittlandtransfer

Im Zusammenhang mit dem Urteil des EuGH zum Privacy Shield sind die Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach Art. 26 Abs. 2 der Richtlinie 95/46/EG gemeint, die gem. Art. 46 Abs. 5 DSGVO ihre Gültigkeit beibehalten haben.

Standarddatenschutzklauseln nach Art. 28 DSGVO

Bezugspunkt der Standarddatenschutzklauseln nach Art. 28 DSGVO sind die von Art. 28 Abs. 3 und 4 DSGVO aufgeworfenen Fragen. Es geht also um die inhaltlichen Voraussetzungen der Auftragsverarbeitung.

Folglich handelt es sich bei den Standarddatenschutzklauseln im Rahmen von Art. 28 DSGVO um eine andere Art von Klauseln. Lediglich die Bezeichnung ist im Gesetzestext dieselbe, was, verständlicherweise, zu Verwirrungen führen kann.

Was sind die rechtliche Grundlagen?

Werden personenbezogene Daten lediglich im Auftrag des Verantwortlichen verarbeitet, ist nach Art. 28 Abs. 1 DSGVO ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter erforderlich, der die Rechtsverhältnisse im Hinblick auf die Datenverarbeitung regelt und bestimmten Anforderungen zu entsprechen hat.

Unbeschadet der Möglichkeit, einen individuellen Vertrag abzuschließen, kann ein solcher Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 6 DSGVO auch auf Standarddatenschutzklauseln beruhen. Die Rechte und Pflichten der Parteien können folglich durch die Übernahme entsprechender Klauseln festgelegt werden. Die Standarddatenschutzklauseln im Rahmen von Art. 28 DSGVO können gemäß Absatz 7 von der Kommission im Einklang mit dem Prüfverfahren oder gemäß Absatz 8 von einer Aufsichtsbehörde im Einklang mit dem Kohärenzverfahren nach Art. 63 DSGVO festgelegt werden.

In Erwägungsgrund 81 heißt es:

„Der Verantwortliche und der Auftragsverarbeiter können entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.“

Wurde von dieser Möglichkeit bereits Gebrauch gemacht?

Von der Möglichkeit im Rahmen von Art. 28 DSGVO Standarddatenschutzklauseln zu verwenden hat die dänische und die slowenische Aufsichtsbehörde Gebrauch gemacht. Die dänische Aufsichtsbehörde hat 2019 dem Europäischen Datenschutzausschuss (EDSA) einen Entwurf für Standarddatenschutzklauseln vorgelegt. Der EDSA hat am 9.7.2019 zu dem Entwurf eine eigene Stellungnahme mit Änderungsvorschlägen abgeben. Am 11.12.2019 hat der EDSA den finalen Entwurf, deren Änderungen zuvor von der dänischen Aufsichtsbehörde akzeptiert wurden, in sein Entscheidungsregister mit aufgenommen. Den Entwurfes der slowenischen Aufsichtsbehörde hat die EDSA in ihrer Stellungnahme vom 19.05.2020 angenommen.

Diese Standarddatenschutzklauseln zur Auftragsverarbeitung werden zukünftig als Orientierung dienen, bei Bedarf können sie aber auch abgeändert oder erweitert werden.

Vor- und Nachteile solcher Standarddatenschutzklauseln

Die Vorteile der Standarddatenschutzklauseln im Rahmen der Auftragsverarbeitung sind vordergründig. Die Vereinbarung einer Auftragsverarbeitung ist mit einem hohen Aufwand verbunden. Einen entsprechenden Vertrag bzw. ein anderes Rechtsinstrument zu erstellen ist aufwändig und kann dementsprechend hohe Kosten verursachen. Verwenden die Parteien dagegen Standarddatenschutzklauseln, kann ihnen dieser Aufwand zum Teil oder sogar ganz erspart bleiben. Folglich lassen sich durch die Verwendung von Standarddatenschutzklauseln Arbeitsabläufe optimieren, was ein effektiveres Wirtschaften der an der Auftragsverarbeitung beteiligten Personen bedingt.

Allerdings steht dem auch ein gewichtiger Nachteil gegenüber. Standarddatenschutzklauseln sind aus sich heraus nicht für eine Konkretisierung und Individualisierung geeignet, es sei denn, sie werden sehr stark bereichsspezifisch definiert. Es stellt sich daher die Anschlussfrage der Zukunftsfähigkeit solcher Standarddatenschutzklauselnklauseln.

Zukunftsfähigkeit dieser Standarddatenschutzklauseln

Die Verwendung von Standarddatenschutzklauseln im Rahmen von Art. 28 DSGVO ist, aufgrund ihrer Vorteile, insbesondere aus unternehmerischen Gesichtspunkten besonders attraktiv. Aufgrund des dargestellten Nachteils sind am ehesten solche Standarddatenschutzklauseln zukunftsfähig, die stark den Charakter eines auszufüllenden Formulars (template) haben und sachbereichsspezifisch differenziert sind.

Die Verwendung von Standarddatenschutzklauseln stellt somit durchaus eine zukunftsfähige Alternative zum Abschluss von individuelle Auftragsverarbeitungsverträgen dar. Es wird sich zeigen, ob sich diese Möglichkeit auch bald bei uns durchsetzt.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.