Neue EU-Standardvertragsklauseln für Auftragsverarbeitungsverträge (EU) - Struktur, Anwendungsbereich & Regelungsinhalte
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Neue EU-Standardvertragsklauseln für
Auftragsverarbeitungsverträge (EU)
Struktur, Anwendungsbereich &
Regelungsinhalte
RA und FA IT-Recht Dr. Sascha Vander, LL.M.Überblick
I. Hintergrund
1. Entstehung
2. Regelungszweck und Rechtsgrundlage
II. Die neuen SVK
1. Anwendungsbereich und Zielvorgaben
2. Regelungsstruktur
3. Einzelbestimmungen
III. Umsetzungshinweise
1. Zeitlicher Rahmen
2. Mögliche Umsetzungsstrategie
IV. Fazit
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 2I. Hintergrund
1. Entstehung
04.06.2021: EU-Kommission veröffentlicht neue
Standardvertragsklauseln für Auftragsverarbeitungsverhältnisse
innerhalb der EU; Verkündung im Amtsblatt erfolgte am
07.06.2021, Abl. EU L 199/18 (CELEX_32021D0915)
27.06.2021: Inkrafttreten der neuen SVK (vgl. Art. 4 Abs. 1 des
Durchführungsbeschlusses)
Praxishinweis: Parallel erarbeitet und in Teilen strukturell
angelehnt an Standardvertragsklauseln für Datenexport in
Drittländer
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 3I. Hintergrund
2. Regelungszweck und Rechtsgrundlage
Regelungen über Auftragsverarbeitung sehen gemäß Art. 28 DS-
GVO Vorgaben zur Sicherstellung Datenschutzkonformität bei
Verarbeitung von Daten im Auftrag vor
Konzept: Privilegierung bei strikten Vorgaben
Art. 28 Abs. 3 DS-GVO präzisiert Anforderungen in vertraglicher
Hinsicht weiter, enthält aber keine konkrete „Montageanleitung“
Art. 28 Abs. 7 DS-GVO räumt der EU-Kommission die Befugnis
zum Erlass von Standardvertragsklauseln ein, bei deren
Verwendung eine rechtskonforme Gestaltung angenommen wird
Ziel: Abbildung DS-GVO-konforme Auftragsverarbeitung gemäß Art. 28
Abs. 3 und 4 DS-GVO
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 4I. Hintergrund
2. Regelungszweck und Rechtsgrundlage
Festlegung Standardvertragsklauseln nach Maßgabe Prüfver-
fahren gemäß Artikel 93 Abs. 2 DS-GVO zur Regelung der in den
Art. 28 Abs. 3 und 4 DS-GVO genannten Fragen
Wurde nunmehr vorgenommen und durchlaufen
Praxishinweis: Erstmalige Bereitstellung von Standardvertrags-
klauseln für Auftragsverarbeitung innerhalb der EU
Diese treten quasi in „Konkurrenz“ zu den bereits etablierten Mustern von
Bitkom, GDD, etc.
Exkurs: Standardvertragsklauseln gelten auch für AVV unter
Verordnung EU 2018/1725 (EU-Organe, etc.)
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 5II. Die neuen SVK
1. Anwendungsbereich und Zielvorgaben
Regelungsgegenstand auf Auftragsverarbeitungsverträge
beschränkt (vgl. Art. 1 und 2 des Beschlusses)
Keine C2C oder sonstige Konstellationen abgebildet
Klauseln können nur für Auftragsverarbeitungsverhältnisse
innerhalb der EU genutzt werden (vgl. ErwG Nr. 10, letzter Satz)
Besonderheiten für Transfer in Drittländer ist ausdrücklich nicht umfasst und
muss durch anderweitige Regelungen abgebildet werden, insbesondere die
neuen Standardklauseln für Transfer in Drittländer (dann reicht das aber auch
parallel für Art. 28 Abs. 3 und 4 DS-GVO; vgl. ErwG Nr. 10)
Klauseln sind neben möglichen Individualverträgen eine
zusätzliche Möglichkeit, die Anforderungen gemäß Art. 28 Abs. 3
und 4 DS-GVO abzudecken (vgl. ErwG Nr. 5)
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 6II. Die neuen SVK
2. Regelungsstruktur und Konzept
Einheitlicher und standardisierter Vertrag mit Musterklauseln
Kein modularer Ansatz wie bei Standardklauseln für Transfer in Drittland
Es gibt nur die C2P-Konzeption
Vertrag sieht in mehrfacher Hinsicht optionale Regelungen vor,
um Flexibilität bei Vertragsgestaltung zu gewährleisten
Relevant etwa für Unterbeauftragungen oder Erweiterung des Vertrages auf
mehrere Parteien
Zusätzlich zum Vertragstext sind umfangreichere Anhänge zu
befüllen und auf die konkrete (!) Situation zuzuschneiden,
! insbesondere die TOM sind konkret zu bestimmen
Merke: Keine formelhaften Beispielauflistungen
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 7II. Die neuen SVK
3. Einzelbestimmungen (Überblick)
Klausel 1 – Zweck und Anwendungsbereich
Regelung von Auftragsverarbeitungsverhältnissen
Verweis auf Anhänge I bis IV als relevante Vertragsbestandteile
Merke: Konkret-individuelle Festlegungen sind geboten
Klausel 2 – Unabänderbarkeit der Klauseln
Pflicht zur mangelnden Abänderung mit Ausnahme von Ergänzungen und
Aktualisierungen der Anhänge
Aber: Aufnahme in umfangreicheren Vertrag ebenso zulässig wie weitere
Klauseln und zusätzliche Garantien
! Merke: Keine Absenkung Schutz und keine Widersprüche zu Standardvertrags-
klauseln
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 8II. Die neuen SVK
3. Einzelbestimmungen (Überblick)
Klauseln 3 und 4 – Auslegung und Vorrang
Auslegung von Begriffen im Lichte der Verordnungen, namentlich DS-GVO
Keine Auslegung entgegen Zielbestimmungen Verordnungen
Bei Widersprüchen mit sonstigen Vereinbarungen haben Standardvertrags-
klauseln Vorrang
Klausel 5 – Kopplungsklausel (fakultativ)
Dritte können dem Vertrag jederzeit als Datenexporteur oder Datenimporteur
beitreten (sog. docking clause); dadurch werden sie selbst Vertragspartei
!! Die Aufnahme dieser Klausel ist, anders als die der übrigen SVK, freiwillig
(ausdrücklich „fakultativ“)
Großer praktischer Nutzen und Vereinfachung bisheriger Hilfskonstruktionen
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 9II. Die neuen SVK
3. Einzelbestimmungen (Überblick)
Klausel 6 – Beschreibung der Verarbeitung
Einzelheiten der Verarbeitung sind in Anhang II aufzuführen
Merke: Hier werden detaillierte Angaben zu Kategorien Betroffener, Daten,
Verarbeitungsarten, Zwecken und Dauer erwartet
Klausel 7 – Pflichten der Parteien (1)
Zentrale Regelungen zur Festlegung des wechselseitigen Pflichtenkatalogs
Weisungen
Zweckbindung
Dauer der Verarbeitung
!
Sicherheit der Verarbeitung mit Sondervorgaben bzw. speziellen TOM für sensible
Daten
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 10II. Die neuen SVK
3. Einzelbestimmungen (Überblick)
Klausel 7 – Pflichten der Parteien (2)
Zentrale Regelungen zur Festlegung des wechselseitigen Pflichtenkatalogs
Dokumentation und Einhaltung der Klauseln, inkl. Pflicht zur Bereitstellung für
Aufsichtsbehörde
Einsatz von Subunternehmern
o Option für vorherige gesonderte Genehmigung und allgemeine Genehmigung
mit Vorabinformation des Verantwortliche über geplanten Einsatz
!! o Frist für Anzeige geplanten Einsatzes konkret festzulegen + „Liste“
o Recht auf Herausgabe von Verträgen für Unterbeauftragung; „im
Wesentlichen“ (!?) dieselben Datenschutzverpflichtungen sind aufzuerlegen
o Pflicht zur Vereinbarung einer sog. Drittbegünstigungsklausel zugunsten
des Verantwortlichen (Kündigungsrecht im Falle von Insolvenz oder Erlöschen
des Unterbeauftragten mit Recht auf Datenherausgabe)
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 11II. Die neuen SVK
3. Einzelbestimmungen (Überblick)
Klausel 7 – Pflichten der Parteien (3)
Zentrale Regelungen zur Festlegung des wechselseitigen Pflichtenkatalogs
Internationale Datenübermittlung
o Nur im Einklang mit den besonderen Vorgaben für einen Datentransfer in
Drittländer
!! o Vorab-Vereinbarung möglicher Verwendung von Standardvertragsklauseln für
Datentransfer in Drittländer als hinreichendes Mittel zur Sicherstellung der
Anforderungen an einen Transfer in Drittländer
Klausel 8 – Unterstützung des Verantwortlichen
Verpflichtung des Auftragsverarbeiters für Zwecke der Erfüllung von Pflichten
des Verantwortlichen unter der DS-GVO, insbesondere Betroffenenechte
TOM sind insoweit gemäß Anhang III zu spezifizieren
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 12II. Die neuen SVK
3. Einzelbestimmungen (Überblick)
Klausel 9 – Meldung von Datenschutzverletzungen
Pflicht des Auftragsverarbeiters zur Zusammenarbeit mit und Unterstützung
des Verantwortlichen im Falle von Meldepflichten
Differenzierung zwischen Verletzung des Schutzes der vom Verantwortlichen
und der vom Auftragsverarbeiter verarbeiteten Daten
Verantwortlicher hat Aufsicht und ggf. Betroffene unmittelbar zu unterrichten;
Auftragsverarbeiter unterrichtet den Verantwortlichen
Beachte: In Anhang III sind etwaige Informationen, die vom Verantwortlichen bei
Meldungen benötigt werden, ggf. zu ergänzen
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 13II. Die neuen SVK
3. Einzelbestimmungen (Überblick)
Klausel 10 – Verstöße gegen Klauseln und Beendigung
Verstöße Auftragsverarbeiter begründen Recht zur Aussetzung des
Datentransfers bis zur Wiederherstellung rechtskonformen Zustandes
Verstöße Auftragsverarbeiter können Kündigungsrecht des
Verantwortlichen begründen
Kündigungsrecht bei Aussetzung und mangelnder Wiederherstellung
rechtskonformen Zustandes (längstes Frist: ein Monat)
Kündigungsrecht bei Verstößen „in erheblichem Umfang“ oder
„fortdauernd“
Missachtung gerichtlicher oder behördlicher Entscheidung
Auftragsverarbeiter kann bei Festhalten an rechtswidrigen
Weisungen kündigen
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 14III. Umsetzungshinweise
1. Zeitlicher Rahmen
Die neuen Standardvertragsklauseln können ab dem 27.06.2021
verwendet werden
Praxishinweis: Die neuen Standardvertragsklauseln bieten nur
eine Möglichkeit, müssen (!) aber nicht verwendet werden
Art. 28 Abs. 3 und Abs. 6 DS-GVO:
Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines
anderen Rechtsinstruments (…).
Unbeschadet eines individuellen Vertrags (…) kann der Vertrag oder das andere Rechtsinstrument (…) ganz
oder teilweise auf den (…) Standardvertragsklauseln beruhen.
ErwG 5 Durchführungsbeschluss:
Gemäß Art. 28 Abs. 6 der (DS-GVO) können der Verantwortliche und der Auftragsverarbeiter entweder einen
individuellen Vertrag aushandeln, der die in Art. 28 Abs. 3 u. 4 DS-GVO (…) aufgeführten obligatorischen
Elemente enthält, oder Standardvertragsklauseln insgesamt oder teilweise verwenden.
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 15III. Umsetzungshinweise
2. Mögliches Umsetzungskonzept
Bestehende Vereinbarungen über Auftragsverarbeitung mit Blick
auf Regelungsinhalte Standardvertragsklauseln hinterfragen
Hinreichende Konkretisierungen des Auftrages sowie der
TOM mit Blick auf Inhalte für Anhänge der Standardvertrags-
klauseln hinterfragen („Liste“ Unterauftragnehmer)
Für selbst verwendete Muster Optimierungsbedarf prüfen oder
insgesamt auf Standardvertragsklauseln umstellen. Bei
ungünstigen Verträgen Möglichkeit für Nachverhandeln unter
Berufung auf neue „Musterklauseln“.
Praxishinweis: Für Auftraggeber rechtlich gut abgesicherter Weg.
Für Dienstleister insbesondere Kostenthemen klären und Klauseln
wohl zu ergänzen.
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 16IV. Fazit
Erstmals Standardvertragsklauseln zur Abbildung einer
Auftragsverarbeitung innerhalb der EU
Verwendung der neuen SVK zwar nicht verpflichtend, aber aus
Gründen der Rechtssicherheit insbesondere für Auftraggeber
empfehlenswert – zumal die Klauseln auch in ein umfassendes
Vertragswerk integriert werden können
Neue Standardvertragsklauseln dürften in Wettbewerb zu
sonstigen bislang etablierten Musterklauseln treten (Bitkom, GDD)
Neue Regelungen wie Kopplungsklauseln machen die
Standardvertragsklauseln gerade für konzerninterne
Datenverarbeitung interessant und gut handhabbar,
insbesondere bei zentralisierter IT-Servicegesellschaft
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 17RA und FA IT-Recht Dr. Sascha Vander, LL.M.
CBH Rechtsanwälte
Cornelius Bartenbach Haesemann & Partner PartG mbB
Bismarckstraße 11 - 13, D-50672 Köln
Fon +49.221.951 90-60
Fax +49.221.951 90-96
E-Mail: s.vander@cbh.de
www.cbh.de
Dr. Sascha Vander, Neue Standardvertragsklauseln AVV EU 18Sie können auch lesen
