Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Vor wenigen Tagen hat die die finale Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge (Definition in Art. 28 DSGVO) für Verarbeitungen zwischen Verantwortlichen (= natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, welche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet) und Auftragsverarbeitern in der Europäischen Union (EU) veröffentlicht. Gestützt ist der Durchführungsbeschluss über die Standardvertragsklauseln u.a. auf die Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725, deren Zweck primär auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gerichtet ist. Für die Beziehung zwischen Verantwortlichen und Auftragsverarbeitern, welche diesen Verordnungen unterliegen, sollen künftig neue einheitliche Standardvertragsklauseln gelten, welche sowohl materielle Rechte als auch Verfahrensrechte enthalten sollen.
Die Standardvertragsklauseln für Auftragsverarbeitungsverträge, denen Dritte übrigens während der gesamten Laufzeit des Vertrags als Partei beitreten können sollten, führen dazu, dass nun erstmals eine EU-weit einheitliche Vertragsvorlage (Musterverträge) für Auftragsverarbeitungskonstellationen in der EU besteht.
Zur Gewährleistung einer einheitlichen Herangehensweise beim Schutz personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten wurden innerhalb der Union die Datenschutzbestimmungen in der Verordnung (EU) 2016/679 (Geltung für den öffentlichen Dienst in den Mitgliedstaaten) und in der Verordnung (EU) 2018/1725 (Geltung für die Organe, Einrichtungen und sonstigen Stellen der Union) so weit wie möglich angeglichen.
Dabei genügen die im Anhang des Beschlusses aufgeführten Standardvertragsklauseln, die in Verträgen zwischen einem Verantwortlichem und einem Auftragsverarbeiter verwendet werden können, diesen Anforderungen an Verträge zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725.
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht bzw. Recht der Mitgliedsstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 oder die in Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 aufgeführten Elemente festgelegt sind. Der Vertrag oder das Rechtsinstrument ist schriftlich (auch elektronische Form möglich) abzufassen.
Dabei können der Verantwortliche und der Auftragsverarbeiter entweder einen individuellen Vertrag aushandeln (dieser muss die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 bzw. die in Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 aufgeführten obligatorischen Elemente enthalten) oder die Standardvertragsklauseln(solche von der Kommission gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 erlassen) verwenden. Dabei sollte es sowohl Verantwortlichen als auch Auftragsverarbeitern freistehen, die in dem Durchführungsbeschluss dargelegten Standardvertragsklauseln in einen umfangreicheren Vertragaufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen. Einzige Prämisse: Diese dürfen nicht im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte bzw. Grundfreiheiten der betroffenen Personen beschneiden.
Von großer (Praxis)Relevanz ist vor allem der zweite Abschnitt der Standardvertragsklauseln. Danach sollten die Standardvertragsklauseln den Verantwortlichen und den Auftragsverarbeiter verpflichten, bspw. den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der betreffenden personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festzulegen. Durch diesen Pflichtenkatalog wird u.a. auch sichergestellt, was schon bis dato Gang und Gebe sein sollte. Nämlich, dass derVerantwortliche sich nur solcher Auftragsverarbeiter bedienen sollte, welche hinreichende Garantien (z.B. Fachwissen, entsprechende Ressourcen, Zuverlässigkeit etc.) dafür bieten können, dass technische und organisatorische Maßnahmen getroffen werden, die den Verordnungsanforderungen genügen.
Die Rechtsanwälte von SBS Legal weisen umfassende Expertise im Bereich Datenschutzrecht auf. Gerne beraten wir Sie bei der Anpassung der genannten Aspekte sowie bei jedem anderen Anliegen aus dem Bereich des Datenschutzrechts. Kontaktieren Sie uns gerne – wir beraten Sie kompetent sowie fachlich versiert und freuen uns darauf, Ihnen bestmöglich weiterzuhelfen.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.