Die Regelungen zur Auftragsverarbeitung sind schon seit jeher Gegenstand von Diskussionen, sei es bezüglich der generellen Erforderlichkeit des Abschlusses eines Vertrages, der konkreten Ausgestaltung der technischen und organisatorischen Maßnahmen oder eines verhängten Bußgeldes wegen einer vermeintlich fehlenden vertraglichen Vereinbarung.
Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) stellt sich nun noch eine weitere Frage: Bedarf es bei der Inanspruchnahme eines streng weisungsgebundenen externen Dienstleisters außerhalb der EU/EWR zusätzlich zum Abschluss der EU-Standardvertragsklauseln eigentlich noch eines Vertrages zur Auftragsverarbeitung?
Gesetzlicher Rahmen
Im alten BDSG war der räumliche Anwendungsbereich der damaligen Auftragsdatenverarbeitung auf das Gebiet der EU bzw. des EWR begrenzt, vgl. § 3 Abs. 8 Satz 2 BDSG alt. Jeglicher Datentransfer in ein Drittland wurde als eine Übermittlung von Daten angesehen, die einer Befugnis bedurfte (Rechtsgrundlage oder Einwilligung) und eine separate Angemessenheitshürde nehmen musste (bspw. durch Abschluss EU-Standardverträge, Vorliegen von BCR oder EU-US-Privacy Shield). Allein der Abschluss von EU-Standardverträgen genügte den Aufsichtsbehörden für ein angemessenes Datenschutzniveau jedoch nicht, sodass zusätzlich noch ein Vertrag gemäß § 11 BDSG alt geschlossen werden musste.
Die Begrenzung des räumlichen Anwendungsbereiches gibt es seit dem 25.05.2018 nicht mehr. Nunmehr ist Art. 3 DSGVO maßgeblich, wonach die EU-Datenschutz-Grundverordnung auf alle Verarbeitungen anzuwenden ist, an denen ein für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter mit Sitz in der EU beteiligt ist, und zwar unabhängig davon, ob die Verarbeitung in der EU stattfindet, wir berichteten. Sofern eine Auftragsverarbeitung außerhalb der EU/des EWR stattfindet, müssen zusätzlich zu einem wirksamen Vertrag nach Art. 28 DSGVO aber auch noch nach wie vor die Anforderungen der Art. 44 ff. DSGVO für die Verarbeitungen in Drittstattstaaten eingehalten werden (angemessenes Schutzniveau durch Schaffung geeigneter Garantien wie EU-Standardvertragsklauseln, EU-US-Privacy Shield, BCR).
Art. 28 Abs. 6 DSGVO sieht als Ausnahmeregelung hingegen ausdrücklich vor, dass ein individueller Vertrag zur Auftragsverarbeitung zwischen Auftragsverarbeiter und Verantwortlichen ganz oder teilweise durch Standardvertragsklauseln ersetzt werden können. Festgelegt werden müssen diese durch die Kommission oder einer Aufsichtsbehörde.
Sind davon auch die derzeitigen EU-Standardvertragsklauseln mit umfasst?
Generell wohl ja. Jedoch wurden diese seit geraumer Zeit nicht angepasst, geschweige denn auf die Vorschriften der EU-Datenschutz-Grundverordnung. Die Klauseln genügen damit rechtsdogmatisch nicht den Anforderungen des Art. 28 Abs. 3 DSGVO. Es fehlt an diversen Regelungen, insbesondere zum Umgang mit den Rechten und Pflichten in einem Auftragsverarbeitungsverhältnisses, wie der Unterstützung zur Datenschutz-Folgenabschätzung, sowie zum Treffen geeigneter Garantien iSd. Art. 32 DSGVO. So sieht es beispielsweise auch die Bitkom, die davon spricht, dass derartige Verträge erst durch künftige veröffentlichte Standardklausen ersetzt werden können.
Abschließende Empfehlung
Grundsätzlich ist ein Ersetzen eines Vertrages zur Auftragsverarbeitung durch Standardvertragsklauseln möglich, sodass der Weg hin zu einem praktikableren Umgang mit weisungsgebundenen Datenverarbeitungen in Drittländern geebnet worden ist. Bis die gegenwärtigen EU-Standardvertragsklauseln (hoffentlich zeitnah) an die geltenden gesetzlichen Regelungen angepasst worden sind, empfiehlt es sich jedoch erst einmal auch weiterhin noch einen Vertrag zur Auftragsverarbeitung abzuschließen.