EU-Kommission stellt Vertragsmuster zur Auftragsverarbeitung vor

Die EU-Kommission hat im November 2020 ein Vertragsmuster zur Auftragsverarbeitung zur Diskussion gestellt. ("Datenschutz - Standardvertragsklauseln zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern in der EU (Durchführungsrechtsakt)" – offizieller Link). Hierbei handelt es sich um einen sogenannten Standardvertrag im Sinne des Art. 28 Abs. 7 DS GVO.

Im Rahmen eines Durchführungsrechtsakt stellt die EU-Kommission nach einem entsprechenden Prüfverfahren mit verbindlicher Wirkung fest, dass diese Standardvertragsklauseln die Anforderungen an Verträge zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 28 Absätze 3 und 4 DS-GVO erfüllen. Eine Stellungnahme des europäischen Datenschutzausschusses hierzu steht noch aus.

Um diese Bindungswirkung zu entfalten, dürfen die Vertragsklauseln an sich nicht verändert werden. Allerdings können sie in einen weiteren Vertrag eingebettet oder um weitere Klauseln ergänzt werden. Um eine entsprechende Konkretisierung des Vertrages vornehmen zu können, müssen die Nutzer insgesamt sieben Anlagen zur Konkretisierung des Auftragsverhältnisses ausfüllen.

Inhaltlich bleiben die Klauseln im Gegensatz zu manchen Mustern von Datenschutz-Aufsichtsbehörden relativ weit und wiederholen sehr viele Bestimmungen der DS-GVO, insbesondere bezüglich der Rechte Betroffener. Das Vertragsmuster weist folgende Besonderheiten auf:

  • die Datenschutzklauseln des Vertragsmusters haben Vorrang vor sonstigen vertraglichen Regelungen
  • die Vertragsparteien können den Beitritt weiterer Parteien als Verantwortliche oder Auftragsverarbeiter zu diesem Vertrag vorsehen
  • dem Auftragsverarbeiter wird im Falle einer Datenpanne eine maximale Reaktionszeit von 48 Stunden eingeräumt
  • das Verhalten im Falle einer Datenpanne wird an unterschiedlichen Stellen mehrfach geregelt
  • Prüfungen durch den Verantwortlichen sind mit „angemessenem“ zeitlichem Vorlauf anzukündigen
  • Informationen über Audits, z. B. Auditberichte, sind auf Anforderung der Aufsichtsbehörde zur Verfügung zu stellen
  • es werden besondere Regelungen und Dokumentationen zu besonderen Datenkategorien gemäß Artt. 9, 10 DS GVO getroffen
  • bei der Beauftragung von Unterauftragnehmern ist dem Verantwortlichen auf Verlangen eine Kopie des Unterauftrags zu übergeben
  • der Auftragsverarbeiter hat sicherzustellen, dass der Unterauftragnehmer seinen Pflichten nachkommt und hat den Verantwortlichen über etwaige Nichterfüllungen zu unterrichten
  • soweit ein Unterauftragnehmer in einem Drittland eingesetzt wird, wird der Auftragsverarbeiter ermächtigt, hierzu einen neuen EU-Standardvertrag für den Drittlandstransfer Prozessor-Prozessor einzusetzen
  • dem Verantwortlichen wird ein Sonderkündigungsrecht insbesondere für den Fall eingeräumt, dass der Auftragsverarbeiter aus irgendeinem Grunde die vorgesehenen Vertragsklauseln nicht erfüllen kann
  • im Rahmen der Anlagen sind insbesondere die Weisungen des Verantwortlichen (Annex IV) sowie Unterstützungsprozesse insbesondere zur Wahrung der Betroffenenrechte (Annex VII) zu dokumentieren

Die Lesbarkeit des Vertrages wird dadurch erschwert, dass er zugleich auch die Voraussetzungen des Art. 29 Abs. 3, 4 VO (EU) 2018/1725[1] abdeckt und hierzu immer wieder auch auf diese Verordnung verweist.

Positiv zu vermerken ist insbesondere die Beitrittsregelung, durch die praktischen Problemen in Konzernen begegnet werden kann.

[1] Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union