Serie zu den neuen Standardvertragsklauseln – Teil 3: Datenübermittlung zwischen Auftragsverarbeitern (P2P)

Diese SCC regeln die Übermittlung personenbezogener Daten an einen Unterauftragsverarbeiter mit Sitz in einem Drittland.

03.09.2021

Dies ist der dritte Artikel unserer Artikelreihe zu den neuen Standardvertragsklauseln (SCC).

Bisher haben wir uns zwei Situationen, die in den neuen SCC geregelt sind, angeschaut. Dies war zu einem die Übermittlung zwischen mehreren Verantwortlichen (C2C, Controller to Controller – Modul 1 der SCC). Zum anderen die Übermittlung von einem Verantwortlichen an einen Auftragsverarbeiter in einem Drittland (C2P, Controller to Processor – Modul 2 der SCC).

Der vorliegende Artikel beschäftigt sich mit der Situation, in der die Datenübermittlung von einem Auftragsverarbeiter an einen weiteren Unterauftragsverarbeiter erfolgt (P2P, Processor to Processor – Modul 3 der SCC).

Im letzten Artikel der Reihe wird es um die Datenübermittlung von einem Auftragsverarbeiter an einen Verantwortlichen gehen (P2C, Processor to Controller – Modul 4 der SCC).

Welches Auftragsverhältnis regeln die Standardvertragsklauseln zu Modul 3

Die Berücksichtigung der Verarbeitungssituation Processor to Processor im Modul 3 ist eine der wichtigsten Neuerungen der aktualisierten Standardvertragsklauseln. Diese Regelungen fehlten in den alten SCC. Daher war es in solchen Konstellationen immer erforderlich, zwischen dem Verantwortlichen und einem Unterauftragsverarbeiter direkt Standardvertragsklauseln abzuschließen, obwohl zwischen dem jeweiligen Verantwortlichen und seinem Auftragsverarbeiter ein Auftragsverarbeitungsvertrag (AV-Vertrag) bereits bestand und Standardvertragsklauseln mit diesem gegebenenfalls vereinbart wurden.

Das war mit einem immensen organisatorischen und administrativen Aufwand für den Verantwortlichen verbunden. Zur Vermeidung dieses Aufwands gingen einige Verantwortliche so vor, dass sie ihre Auftragsverarbeiter im Rahmen der vertraglichen Regelung im AV-Vertrag bevollmächtigten, im Auftrag des Verantwortlichen in seinem Namen Standardvertragsklauseln mit den jeweiligen Unterauftragnehmern abzuschließen. Nun ist eine solche Vertragsakrobatik nicht mehr notwendig, da die Auftragsverarbeiter selbst unter Verwendung des Moduls 3 der SCC einen Unterauftragsverarbeiter beauftragen können. In diesem Modul 3 finden sich alle Regelungen, die notwendig sind, um für einen sicheren Datentransfer in das Drittland zu sorgen.

Ein Anwendungsbeispiel für das Modul 3

Zur Verdeutlichung nehmen wir mal das Beispiel eines Verantwortlichen der einen Auftragsverarbeiter mit der Erbringung von IT-Leistungen, beispielsweise der Bereitstellung einer Software als Online-Lösung (Software as a Service – SaaS), beauftragt. Dieser Auftragsverarbeiter nimmt nun für einen Teil der Leistungen weiterer Unterauftragnehmer in Anspruch, beispielsweise einen Rechenzentrumsbetreiber, der ihm die zur Bereitstellung seiner Software die erforderliche Infrastruktur bereitstellt und wartet. In diesem Fall kann der Auftragsverarbeiter, den Rechenzentrumsbetreiber eigenständig beauftragen unter Verwendung der SCC in der Variante des Moduls 3.

Jeder Beteiligte schließt also immer nur einen Vertrag mit dem direkt benachbarten Glied in der Verarbeitungskette. Selbst weitere Beauftragungen durch einen Unterauftragsverarbeiter an weitere untergeordnete Dienstleister sind unter Verwendung des Moduls 3 der SCC denkbar und möglich.

Regelungen zum Verantwortlichen sowie den Pflichten des Datenexporteuers und -importeurs

Die Regelungen des Moduls 3 entsprechen im Wesentlichen den Klauseln des Moduls 2 (hierzu vgl. unseren Artikel zum Modul 2 der SCC). Dies erscheint auch sachgemäß, da in beiden Fällen ein weisungsgebundenes Auftragsverhältnis zu einem Auftragsverarbeiter konstituiert wird. Die Klausel 8.1 a) und b) des Modul 3 berücksichtigt dabei jedoch zusätzlich die Situation, dass an der Verarbeitung neben dem beauftragenden Datenexporteur und dem auftragnehmenden Datenimporteur noch ein Verantwortlicher als Hauptauftraggeber beteiligt ist. Dieser ist zwar nicht Vertragspartei der hier verwendeten Standardvertragsklauseln, dessen Weisungen an den Auftragsverarbeiter strahlen jedoch auf alle vorhandenen Unterauftragnehmer aus. Die Ziff. 8.1 a) und b) des Moduls 3 legen hierzu Folgendes fest [mit Hervorhebungen des Verfassers]:

„a) Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als

Auftragsverarbeiter nach den Weisungen seines/seiner Verantwortlichen fungiert,

und der Datenexporteur stellt dem Datenimporteur diese Weisungen vor der

Verarbeitung zur Verfügung.

b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage

dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom

Datenexporteur mitgeteilt wurden, sowie auf der Grundlage aller zusätzlichen

dokumentierten Weisungen des Datenexporteurs. Diese zusätzlichen Weisungen

dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen.  Der

Verantwortliche oder der Datenexporteur kann während der gesamten

Vertragslaufzeit weitere dokumentierte Weisungen im Hinblick auf die

Datenverarbeitung erteilen.“

Der Datenexporteur (Hauptauftragnehmer) fungiert in dieser Konstellation also als eine Übermittlungsstelle, die Weisungen des Verantwortlichen dem Datenimporteur (Unterauftragnehmer) in der jeweils aktuellen bzw. fortlaufend aktualisierten Form vor der Verarbeitung zur Verfügung stellen muss. Auf diese Weise wird gewährleistet, dass der Verantwortliche seine Rechte und Pflichten gegenüber allen Auftragsverarbeitern in der Verarbeitungskette behält.

Regelungen zur Weiterübermittlung von Daten

Gemäß der Klausel 8.8 des Moduls 3 bedarf dabei jede weitere Übermittlung von personenbezogenen Daten an Dritte einer dokumentierten Weisung des Verantwortlichen. Diese Weisungen müssen dem Datenimporteur vom Datenexporteur mitgeteilt werden. Ein Unterauftragnehmer darf die Daten also nicht einfach an einen Unter-Unter-Auftragnehmer weiterübermitteln, ohne dass eine dokumentierte Weisung des Verantwortlichen vorliegt.

Besonders relevante Pflichten des Datenimporteurs

Entsprechend der Klausel 8.9 a) des Moduls 3, die Dokumentation und Einhaltung der Klauseln regelt, trifft den Datenimporteur (Unterauftragnehmer) insb. die Pflicht, Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß den Standardvertragsklauseln beziehen, umgehend und in angemessener Weise zu bearbeiten. Dabei stehen dem Verantwortlichen und dem Datenexporteur gemäß Klausel 8.9 d) – f) des Moduls 3 umfangreiche Informations- und Prüfrechte zu. Die Prüfungen können danach Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen.

Zum Nachweis der Einhaltung der Standardvertragsklauseln trifft den Datenimporteur gemäß Klausel 8.9 b) des Moduls 3 die Pflicht, geeignete Aufzeichnungen über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen. Gemäß Klausel 8.9 c) stellt der Datenimporteur dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in den Standardvertragsklauseln festgelegten Pflichten erforderlich sind, und der Datenexporteur stellt diese Informationen wiederum dem Verantwortlichen bereit.

Diese dokumentierten Informationen sind gem. Klausel 8.9 g) der zuständigen Aufsichtsbehörde auf deren Verlangen zur Verfügung zu stellen.

Den Datenimporteur trifft gemäß Klausel 10 b) zudem die Pflicht, den Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, zu unterstützen, soweit dieser Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der DSGVO bzw. der Verordnung (EU) 2018/1725 (zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr) beantworten muss. Der Datenimporteur darf also die Anfragen der betroffenen Personen nicht selbst beantworten.

Einsatz von weiteren Unterauftragsverarbeitern

Der Einsatz von weiteren Unterauftragsverarbeitern ist in der Klausel 9 geregelt. Hierbei haben die Parteien optional die Möglichkeit, entweder eine vorherige gesonderte (Option 1) oder eine allgemeine schriftliche Genehmigung (Option 2) zum Einsatz von Unterauftragnehmern durch den Datenexporteur zu vereinbaren. Wenn der Unterauftragsverarbeiter weitere Unterauftragsverarbeiter einsetzen möchte, muss er gemäß Artikel 9 a) des Moduls 3 entsprechend der 1. Option die Zustimmung des Verantwortlichen einholen bzw. dem Verantwortlichen entsprechend der 2. Option eine Möglichkeit einräumen, bei Änderungen der Unterauftragnehmer (Hinzufügung oder Ersetzung) Einwände gegen diese Änderungen erheben zu können.

Fazit

Die Regelungen des Moduls 3 halten wir für brauchbar. Die Möglichkeit, Übermittlungen von einem Auftragsverarbeiter an seine Unterauftragsverarbeiter in den Standardvertragsklauseln zu erfassen, war längst überfällig. Durch die umfangreichen Pflichten des Datenexporteurs und des Datenimporteurs wird sichergestellt, dass die Rechte des Verantwortlichen gestärkt und die der betroffenen Personen (z.B. auf Auskunftserteilung, Löschung) angemessen geschützt werden, und zwar über die gesamte Verarbeitungskette hinweg.

Für den Verantwortlichen vereinfachen die Möglichkeiten der neuen Standardvertragsklauseln in der Verarbeitungssituation Processor to Processor den organisatorischen und den administrativen Aufwand deutlich.

Benötigen Sie Unterstützung im Rahmen Ihrer Datenübermittlungen in ein Drittland? Rufen Sie uns an, wir helfen Ihnen gerne!

 

_________________________________________________________________________

Dieser Artikel ist Teil unserer Reihe zu den neuen Standardvertragsklauseln. Die anderen Artikel finden Sie hier: