Vertragsmuster für Auftragsverarbeitungsverträge sprießen spätestens seit Inkrafttreten der DSGVO aus dem Boden. Auch viele Aufsichtsbehörden haben auf ihren Websites solche Vorlagen zum Download bereitgestellt. Erstmals hat nun die EU-Kommission – gemeinsam mit den Neuregelungen für internationale Datentransfers – auch Mustervorgaben für Auftragsverarbeitungsverträge veröffentlicht. Welche Bedeutung die Muster haben und ob bestehende Auftragsverarbeitungsverträge (national wie international) nun angepasst werden müssen, fassen wir nachfolgend zusammen.
Zunächst ist eine gewisse Vorsicht bei den Begrifflichkeiten geboten. Die Musterformulierungen zur Auftragsverarbeitung heißen „Standardvertragsklauseln“ (Beschluss vom 04.06.2021 sowie Anhang mit den Klauseln, jeweils in deutscher Sprache). Wie in unserem Beitrag 3 erwähnt, dürfen diese nicht mit den neuen „Standarddatenschutzklauseln“ für den Drittstaatentransfer, die auch häufig als Standardvertragsklauseln bezeichnet werden, verwechselt werden. Um Missverständnissen vorzubeugen, bezeichnen wir die neuen Klauseln zu Auftragsverarbeitungsverträgen hier als „Auftragsverarbeitungsvertragsklauseln“.
(Freiwillige) Rechtssicherheit
Wenn Unternehmen eine Auftragsverarbeitung vereinbaren wollen, geschieht dies in der Praxis auf der Grundlage von Vertragsmustern, die von Organisationen, Behörden oder Beratern entwickelt wurden. Auch wenn sich die meisten am Markt verfügbaren Muster gleichen, gibt es in den Details Divergenzen. Zum Beispiel beim Einsatz von Subunternehmern, bei der vertraglichen Verteilung der Haftung oder bei Überprüfung der TOMs. Unternehmen stehen dann vor der Frage, welches Muster zu nutzen ist bzw. ob ein bestimmtes Muster gesetzeskonform ist. In diesem Zusammenhang ist der Blick in Art. 28 Abs. 3 DSGVO regelmäßig wenig erhellend, da die Vorschrift sehr allgemein gehalten ist. Die neu veröffentlichten Auftragsverarbeitungsvertragsklauseln vermitteln den Verantwortlichen und Auftragsverarbeitern Rechtssicherheit, da sie die gesetzlichen Anforderungen an einen Auftragsverarbeitungsvertrag erfüllen (Art. 1 des oben verlinkten Beschlusses). Unternehmen können sich also auf den neuen „Geldstandard“ verlassen, müssen dies aber nicht (Art. 2 des Beschlusses). Die Anwendung bleibt freiwillig.
Klauselwerk im Einzelnen
Auch bei den Auftragsverarbeitungsvertragsklauseln hat die Kommission einen modularen Ansatz gewählt, sodass die Vertragsparteien zwischen verschiedenen Klauselvarianten auswählen können. Dabei bestimmen die Auftragsverarbeitungsvertragsklauseln umfassend das in Art. 28 Abs. 3 und 4 DSGVO vorgegebene Pflichtenprogramm zum Auftragsverarbeitungsvertrag. Ähnlich wie die Standardvertragsklauseln zum Drittstaatentransfer bieten auch die Auftragsverarbeitungsvertragsklauseln die Möglichkeit zum Beitritt weiterer Parteien, Verantwortlicher oder Auftragsverarbeiter während der Laufzeit des Vertrages.
Hervorheben möchten wir die folgenden Klauseln:
- Klausel 2: Unabänderbarkeit: Die Klauseln sollen nicht verändert werden. Verantwortliche und Auftragsverarbeiterkönnen aber einen individuellen Vertrag mit dem Inhalt der Art. 28 Abs. 3 und 4 DSGVO schließen oder die neuen Musterklauseln der Kommission ganz oder teilweise nutzen. Es ist den Parteien auch freigestellt, die vertraglichen Verpflichtungen noch zu erweitern. Es soll nur nicht zu Widersprüchen mit den Auftragsverarbeitungsvertragsklauseln kommen.
- Klausel 4: Bei Widersprüchen haben die Klauseln Vorrang vor Individualvereinbarungen.
- Klausel 7.6: Beide Parteien müssen die Einhaltung der Klauseln nachweisen können.
- Klausel 7.7: Zu begrüßen sind die klaren Regeln zum Einsatz von Subunternehmern und die Nennung der beiden möglichen Optionen: Vorherige gesonderte Genehmigung und allgemeine schriftliche Genehmigung. In vielen bisherigen Mustern und Individualvereinbarungen ist dies nicht derart klar herausgearbeitet.
Bemerkenswert ist, dass bei der Weitergabe von Unterauftragsverträgen der Schutz von Geschäftsgeheimnissen Berücksichtigung findet (lit. c), sodass hier ggf. Schwärzungen erfolgen können. Ebenfalls hervorzuheben ist die in lit. e) vorgesehene Drittbegünstigungsklausel, nach der der Verantwortliche, wenn der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben. - Klausel 9: Das hier geregelte Procedere für den Umgang mit Datenpannen ist vergleichsweise detailliert und bereits deswegen sehr hilfreich.
Umsetzungsfrist und Empfehlung
Die neuen Auftragsverarbeitungsvertragsklauseln treten 20 Tage nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Für diese gilt keine Übergangsfrist.
Es bietet sich an, bestehende Auftragsverarbeitungsverträge auf die Vereinbarkeit mit den neuen Auftragsverarbeitungsvertragsklauseln zu überprüfen und gegebenenfalls neue Verträge unter Berücksichtigung der Musterklauseln zu schließen. Gerade das hohe Maß an Rechtssicherheit und die einfache Möglichkeit des Beitritts zu den Klauseln machen diese für die Praxis interessant.