SBS Firmengruppe Logos

| Datenschutzrecht

Neue Standardvertragsklauseln für Auftragsverarbeitungsverträge


Alles gleich macht die EU

Vor wenigen Tagen hat die die finale Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge (Definition in Art. 28 DSGVO) für Verarbeitungen zwischen Verantwortlichen (= natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, welche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet) und Auftragsverarbeitern in der Europäischen Union (EU) veröffentlicht. Gestützt ist der Durchführungsbeschluss über die Standardvertragsklauseln u.a. auf die Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725, deren Zweck primär auf den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten gerichtet ist. Für die Beziehung zwischen Verantwortlichen und Auftragsverarbeitern, welche diesen Verordnungen unterliegen, sollen künftig neue einheitliche Standardvertragsklauseln gelten, welche sowohl materielle Rechte als auch Verfahrensrechte enthalten sollen.

EU-weit einheitliche Vertragsvorlage – Was ist der Hintergrund?

Die Standardvertragsklauseln für Auftragsverarbeitungsverträge, denen Dritte übrigens während der gesamten Laufzeit des Vertrags als Partei beitreten können sollten, führen dazu, dass nun erstmals eine EU-weit einheitliche Vertragsvorlage (Musterverträge) für Auftragsverarbeitungskonstellationen in der EU besteht. 

Zur Gewährleistung einer einheitlichen Herangehensweise beim Schutz personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten wurden innerhalb der Union die Datenschutzbestimmungen in der Verordnung (EU) 2016/679 (Geltung für den öffentlichen Dienst in den Mitgliedstaaten) und in der Verordnung (EU) 2018/1725 (Geltung für die Organe, Einrichtungen und sonstigen Stellen der Union) so weit wie möglich angeglichen.

Dabei genügen die im Anhang des Beschlusses aufgeführten Standardvertragsklauseln, die in Verträgen zwischen einem Verantwortlichem und einem Auftragsverarbeiter verwendet werden können, diesen Anforderungen an Verträge zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725.

Was gilt es bei Auftragsverarbeitungen sonst noch künftig zu beachten?

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht bzw. Recht der Mitgliedsstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 oder die in Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 aufgeführten Elemente festgelegt sind. Der Vertrag oder das Rechtsinstrument ist schriftlich (auch elektronische Form möglich) abzufassen.

Dabei können der Verantwortliche und der Auftragsverarbeiter entweder einen individuellen Vertrag aushandeln (dieser muss die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 bzw. die in Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 aufgeführten obligatorischen Elemente enthalten) oder die Standardvertragsklauseln(solche von der Kommission gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 erlassen) verwenden. Dabei sollte es sowohl Verantwortlichen als auch Auftragsverarbeitern freistehen, die in dem Durchführungsbeschluss dargelegten Standardvertragsklauseln in einen umfangreicheren Vertragaufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen. Einzige Prämisse: Diese dürfen nicht im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte bzw. Grundfreiheiten der betroffenen Personen beschneiden.

Mindestinhalt der Standardvertragsklauseln – Pflichtenkatalog im zweiten Abschnitt

Von großer (Praxis)Relevanz ist vor allem der zweite Abschnitt der Standardvertragsklauseln. Danach sollten die Standardvertragsklauseln den Verantwortlichen und den Auftragsverarbeiter verpflichten, bspw. den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der betreffenden personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festzulegen. Durch diesen Pflichtenkatalog wird u.a. auch sichergestellt, was schon bis dato Gang und Gebe sein sollte. Nämlich, dass derVerantwortliche sich nur solcher Auftragsverarbeiter bedienen sollte, welche hinreichende Garantien (z.B. Fachwissen, entsprechende Ressourcen, Zuverlässigkeit etc.) dafür bieten können, dass technische und organisatorische Maßnahmen getroffen werden, die den Verordnungsanforderungen genügen.


SBS Legal – Kanzlei für Datenschutzrecht

Die Rechtsanwälte von SBS Legal weisen umfassende Expertise im Bereich Datenschutzrecht auf. Gerne beraten wir Sie bei der Anpassung der genannten Aspekte sowie bei jedem anderen Anliegen aus dem Bereich des Datenschutzrechts. Kontaktieren Sie uns gerne – wir beraten Sie kompetent sowie fachlich versiert und freuen uns darauf, Ihnen bestmöglich weiterzuhelfen.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht