In Zeiten der arbeitsteiligen digitalisierten Wirtschaft kommt für fast jedes Unternehmen der Moment, in dem ein Vertrag über eine Auftragsverarbeitung abgeschlossen werden muss. Die Europäische Kommission hat hierzu nunmehr einen Mustervertrag in Form von Standardvertragsklauseln vorgelegt. Wir haben uns diesen standardisierten AV-Vertrag einmal genauer angesehen und stellen die wesentlichen Regelungsgehalte des Musters vor.
Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern
Von Standardvertragsklauseln ist im Datenschutz bisher immer im Zusammenhang mit der Datenübermittlung in Drittstaaten die Rede gewesen. Nicht zu Unrecht, stellen doch die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, als geeignete Garantien im Sinne des Art. 46 DSGVO, ein bewährtes und leicht zu handhabendes Mittel für den Drittlandtransfer dar. Und erst jüngst haben diese Standardvertragsklauseln durch die Europäische Kommission ihr dringend notwendiges Update erhalten.
Im Fahrwasser der neuen Standardvertragsklauseln zum Drittlandtransfer hat die Europäische Kommission aber zusätzlich Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern vorgelegt. Es handelt sich hierbei um einen Mustervertrag zu der Vereinbarung gem. Art. 28 Abs. 3 DSGVO, der im Fall einer Auftragsverarbeitung zwischen dem Verantwortlichen und dem Auftragsverarbeiter abzuschließen ist. Die Kompetenz hierzu ergibt sich für die Kommission aus Art. 28 Abs. 7 DSGVO, nach dem sie Standardvertragsklauseln zur Regelung der in Art. 28 Abs. 3 und Abs. 4 DSGVO genannten Fragen festlegen kann.
Damit im Folgenden keine Verwechslungen aufkommen, wollen wir die Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern im Folgenden als AV-Standardvertragsklauseln bezeichnen. Schauen wir uns die Klauseln etwas genauer an.
Überblick zu den AV-Standardvertragsklauseln
Bei der Verwendung der AV-Standardvertragsklauseln ist zu beachten, dass diese sowohl als AV-Vertrag nach der DSGVO als auch als Vertrag nach der Verordnung (EU) 2018/1725 vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union verwendet werden können. Der Standardvertag bietet hierzu jeweils die Wahl zwischen zwei Optionen an. Im unternehmerischen Verkehr ist hier jeweils immer die OPTION 1 zu wählen.
Die AV-Standardvertragsklauseln untergliedern sich in drei Abschnitte. Der erste Abschnitt enthält dabei allgemeine Bestimmungen. Interessant ist hier in erster Linie die nicht zwingende Klausel 5, die sog. Kopplungsklausel. Diese ermöglicht den einfachen Beitritt weiterer Parteien zu dem Vertrag. Hierzu kann das Formular in Anhang 1 der AV-Standardvertragsklauseln verwendet werden. Dies ist insbesondere praktisch, wenn die AV-Standardvertragsklauseln in Unternehmensgruppen verwendet werden oder in umfassendere Intercompany-Verträge integriert werden.
Dem Verantwortlichen und dem Auftragsverarbeiter steht es insoweit frei, die AV-Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen. Auch können zusätzliche Klauseln aufgenommen oder zusätzliche Garantien hinzugefügt werden, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Bestimmungen der AV-Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Der zweite Abschnitt regelt die Pflichten der Vertragsparteien. Denn nach Art. 28 Abs. 3 DSGVO müssen in dem Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, eine Beschreibung der beauftragten Verarbeitung sowie die Pflichten und Rechte des Verantwortlichen festgelegt werden. Die Einzelheiten zu der beauftragten Verarbeitung können in Anhang 1 der AV-Standardvertragsklauseln beschrieben werden. Im Übrigen bilden die Klauseln des zweiten Abschnitts die zu regelnden Pflichtinhalte des Art. 28 Abs. 3 Buchst. a bis h DSGVO ab.
Ein genauerer Blick in Klausel 7.7 lohnt sich. Diese regelt den Einsatz von sog. Unterauftragsverarbeitern und enthält unter Umsetzung des Art. 28 Abs. 2 DSGVO zwei Gestaltungsoptionen. Die OPTION 1 regelt die Variante, in der die Hinzuziehung eines Unterauftragsverarbeiters nur mit der vorherigen Genehmigung des Verantwortlichen gestattet ist. Dabei sind die jeweils genehmigten Unterauftragsverarbeiter als Anhang IV in einer Liste darzustellen. Mit OPTION 2 ist der Fall geregelt, dass der Verantwortliche eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern erteilt.
Die Schlussbestimmungen des dritten Abschnitts beinhalten eine Kündigungsmöglichkeit des Verantwortlichen für den Fall, dass der Auftragsverarbeiter bestimmten Pflichten nicht nachkommt. Die Kündigung bezieht sich dabei auf die der Auftragsverarbeitung zu Grunde liegende Leistungsvereinbarung. Spiegelbildlich kann der Auftragsverarbeiter kündigen, wenn der Verantwortliche eine rechtswidrige Verarbeitung von ihm verlangt.
Die AV-Standardvertragsklauseln können ab heute direkt eingesetzt werden. Denn sie treten am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Diese Veröffentlichung ist am 7. Juni 2021 erfolgt, so dass die AV-Standardvertragsklauseln ab dem 27. Juni 2021 verwendet werden können.
Fazit
Mit den AV-Standardvertragsklauseln liegt ein sozusagen von ganz oben abgesegneter Mustervertrag für die Auftragsverarbeitung vor. An Vorlagen für AV-Verträge gem. Art. 28 Abs. 3 DSGVO hat es zwar auch bisher nicht gefehlt. Die AV-Standardvertragsklauseln der Europäischen Kommission bieten aber gerade für kleine Unternehmen und Vereine den Vorteil, sich auf die Vollständigkeit und Richtigkeit des Vertrages verlassen zu können.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.