EU-Kommission veröffentlicht Standardvertragsklauseln für innereuropäische Auftragsverarbeitung

Auch für die Vorgaben des Art. 28 DSGVO zur zur Auftragsverarbeitung gibt es nun Standardvertragsklauseln

02.08.2021

Am 07.06.2021 veröffentlichte die EU-Kommission die neuen Standardvertragsklauseln (Standard contractual clauses, SCC) für Verarbeitungen im Drittstaatenkontext. Alle berichteten darüber, wir auch. Und wir haben sogar eine eigene Artikelreihe dazu gestartet, wie „damals“ zu den Rechten der betroffenen Personen und den Rechtsgrundlagen für die Verarbeitung auch schon. Relativ unbeachtet geblieben sind bislang die gleichzeitig von der EU-Kommission veröffentlichten Standardvertragsklauseln gemäß Art. 28 Abs. 7 DSGVO. Um sie in der Benennung von den anderen, für den Drittstaatentransfer gedachten, SCC unterscheiden zu können, werden wir die Standardvertragsklauseln gemäß Art. 28 Abs. 7 DSGVO nachfolgend SCC AV (also SCC für Auftragsverarbeitung) nennen.

Ähnlich den bekannten Standardmustern

Die Struktur der SCC AV ähnelt der Struktur der SCC für Drittstaatentransfer. Interessanterweise ähnelt der Inhalt der SCC AV jedoch den seit 2018 bekannten Standardmustern der Verbände deutlich. Insbesondere das Muster der Gesellschaft für Datenschutz und Datensicherheit (GDD, siehe Praxishilfe IV), welches eine hohe Verbreitung genießt, könnte rein inhaltlich als Muster für die SCC AV der EU-Kommission hergehalten haben.

Einerseits ist das erfreulich, weil wir alle das GDD-Muster in- und auswendig kennen und damit bislang recht gut klargekommen sind. Andererseits hat die Kommission mit der Übernahme und nur geringfügigen Anpassung der altbekannten Regelungen auch Verbesserungspotenzial verschenkt. Positiver Nebeneffekt der Anlehnung an die bekannten Muster ist, dass mit den SCC AV die Anforderungen an zukünftige Vereinbarungen zur Auftragsverarbeitung auf einem nicht allzu hohen Niveau festgelegt wurden. Verantwortliche, welche die SCC AV als Vertragsmuster nutzen, können sicher sein, dass die vertragliche Grundlage die Anforderungen des Art. 28 DSGVO erfüllt und somit (von den individuellen Vereinbarungen in den Anlagen) keine Gefahr besteht, aus formalen Gründen eine Rüge einer Aufsichtsbehörde für den Datenschutz zu bekommen. Dies gilt zumindest solange, bis irgendwann in der Zukunft beispielsweise der EuGH entscheiden könnte, dass die SCC AV – aus welchem Grund auch immer – nicht den Vorgaben der DSGVO entsprechen.

AV-Verträge sind häufig Minimallösung

Es muss klar gesagt werden: Die bisher im Einsatz befindlichen Standardmuster für solche Vereinbarungen wirkten schon etwas wie eine Alibi-Vereinbarung. Wer es sich einfach machen wollte, nutzte sie und konnte davon ausgehen, dass auch die Vertragspartner diese Muster kannten, wenn nicht sogar selbst nutzten. Das war für Vertragsverhandlungen ungemein praktisch, war doch kaum Widerstand oder Widerspruch der Datenschutzbeauftragten zu befürchten.

Mit den SCC AV wird es zukünftig voraussichtlich noch einfacher, denn nun liegen ähnliche Vereinbarungen wie bisher sogar mit „offizieller Freigabe“ vor. Wer es sich zukünftig einfach machen möchte und dabei auf Nummer sicher gehen will, nutzt also die SCC AV und kann davon ausgehen, dass zumindest aus formaler, vertraglicher Sicht noch weniger Gefahr droht, als bislang. Und sollte doch mal ein „gegnerischer“ Datenschutzbeauftragter etwas zu bemängeln haben, kann man auf die Freigabe der EU-Kommission verweisen. Eigentlich dürften mit dieser Argumentation alle Einwände entkräftet werden können.

Einfache Regelung – Praxisbezug gering

Offen gesagt sind wir aber keine uneingeschränkten Fans der neuen SCC AV. Diese enthalten Regelungen, die unseres Erachtens ohne jeglichen Praxisbezug entstanden sind. Man kann diese nutzen, speziell wenn es sich um einfach strukturierte Verarbeitungen handelt, die beauftragt werden sollen. Je spezieller es jedoch wird, desto weniger werden die SCC AV passen. Und hier kommt der größte Nachteil der SCC AV: Klausel 2 verbietet jegliche Änderung an den SCC AV. Mit Ausnahme der wenigen Optionen, die von der EU-Kommission vorgesehen sind (und die sich in den meisten Fällen auf die Wahl der Verordnung, auf die sie sich beziehen sollen [das wären die DSGVO und die Verordnung (EU) 2018/1725 , also die „DSGVO“ für Organe der EU], beschränken) bleibt den Vertragsparteien also kaum Spielraum, auf komplexere Verarbeitungen einzugehen, außer dieses in der Beschreibung der Verarbeitung sowie in ergänzenden Weisungen zu regeln.

Eigene Vereinbarungen weiterhin möglich

Da die SCC AV nicht verpflichtend genutzt werden müssen, wird es voraussichtlich zukünftig auch weiterhin komplexere und von den SCC AV abweichende Regelungswerke zur Auftragsverarbeitung geben. Wir werden in unserer Beratungspraxis vorausschtlich für „einfache“ Vereinbarungen zur Auftragsverarbeitung von den bisherigen Vertragsmustern auf die SCC AV umschwenken. Sobald es aber etwas komplexer wird in den Verarbeitungen, werden wir – wie bisher auch – unser eigenes Vertragsmuster einsetzen, welches deutlich mehr Möglichkeiten bietet und deutlich komplexere Verarbeitungssituationen abdeckt.

Sind Sie Auftragsverarbeiter? Wir empfehlen, eine eigene Standardvereinbarung zur Auftragsverarbeitung zu entwickeln und diese mit allen Ihren Auftraggebern zu nutzen. Melden Sie sich, wir unterstützen Sie dabei!