Die EU-Kommission hat am 4. Juni 2021 neue Standardvertragsklauseln beschlossen.
Standardvertragsklauseln – Was sind das für Klauseln?
Standardvertragsklauseln finden ihre gesetzliche Grundlage in Art. 28 Abs. 7 und 8 DSGVO. Danach kann die EU-Kommission entsprechende Klauseln zur Regelung der in den Absätzen 3 und 4 des Art. 28 DSGVO genannten Anforderungen festlegen.
Es geht also – kurz gesagt – um einheitliche (europäische) Regelungen für Verträge zwischen Verantwortlichen und Auftragsverarbeitern, also um die Standardisierung von Auftragsverarbeitungsverträge.
Und was sind dann die Standarddatenschutzklauseln?
Demgegenüber sind Standarddatenschutzklauseln in Art. 46 Abs. 2 lit. c und d DSGVO geregelt. Sie sind zu verwenden, wenn Daten in ein datenschutzrechtliches Drittland (Länder ohne adäquates Datenschutzniveau) übermittelt werden und daher keine Auftragsverarbeitung in Betracht kommt. In diesen Fällen kann nicht auf die Standardvertragsklauseln zurückgegriffen werden.
Alles verwirrend!
Es wird noch komplizierter. Die begriffliche Differenzierung zwischen Standardvertragsklauseln und Standarddatenschutzklauseln findet sich nur in der DSGVO (Art. 28 Abs. 7 und 8 DSGVO bzw. Art. 46 Abs. 2 lit. c und d DSGVO), nicht jedoch in den Beschlüssen der EU-Kommission. Hier wird einheitlich von Standardvertragsklauseln gesprochen:
Was für Fehler?
Der Anhang III der Standardvertragsklauseln (zwischen Verantwortlichen und Auftragsverarbeitern gemäß Art. 28 Abs. 7 DSGVO) betrifft die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit. Hier haben sich Übersetzungsfehler eingeschlichen:
In der deutschen Fassung der Standardvertragsklauseln findet sich die Aussage:
„Beschreibung der von dem/den Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.“ (Hervorhebung durch uns)
Demnach soll der Verantwortliche, der einen Dienstleister mit der Datenverarbeitung im Auftrag betraut hat, seine getroffenen technischen und organisatorischen Sicherheitsmaßnahmen beschreiben. Das ergibt wenig Sinn. Wichtig wäre es, wenn der Dienstleister, dem der Verantwortliche vertrauen muss, die Beschreibung seiner getroffenen Maßnahmen darlegt. Diese Einschätzung bestätigt sich beim Blick in die englische Fassung der Standardvertragsklauseln:
„Description of the technical and organisational security measures implemented by the processor(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, as well as the risks for the rights and freedoms of natural persons.“ (Hervorhebung durch uns)
Mit „processor” ist der Dienstleister gemeint, da der Verantwortliche im Englischen als „controller“ bezeichnet. Auch sonst sind insbesondere in den Anlagen verschiedene Übersetzungsungenauigkeiten zu finden. Es wird daher dringend empfohlen, bei der Einarbeitung in das Thema nicht nur mit der deutschen Fassung zu arbeiten, sondern auch mit der englischen.
Und inhaltlich?
Die Berater der datenschutz nord Gruppe arbeiten die Standardvertragsklauseln (zwischen Verantwortlichen und Auftragsverarbeitern gemäß Art. 28 Abs. 7 DSGVO) gerade durch und geben in den nächsten Tagen hier im Blog einen inhaltlichen Überblick über die verschiedenen Regelungen.
Michael Rausch
5. Juli 2021 @ 8:32
In der Praxis müsses sehr wohl beide Seiten (Controller und Processor, bei Joint Controllern alle Beteiligten) TOMs liefern und auch miteinander abstimmen. So muss der Controller z.B. sicherstellen, dass Zugriffe auf seine Systeme von Seiten des Prozessor in allen belangen gesicht sind. Es sollte durchaus in den TOMs festgehalten werden, wer da was zu tun hat und wo die Abgrenzung ist.