Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
eprivacy-verordnung 2020 drittstaaten transfers standardvertragsklauseln scc AV Auftragsverarbeitung edsa bußgeld dga da ki-vo

EU-Kommission veröffentlicht Standardvertragsklauseln für innereuropäische Auftragsverarbeitung

2. August 2021/von Datenschutzbeauftragter/tma

Am 07.06.2021 veröffentlichte die EU-Kommission die neuen Standardvertragsklauseln (Standard contractual clauses, SCC) für Verarbeitungen im Drittstaatenkontext. Alle berichteten darüber, wir auch. Und wir haben sogar eine eigene Artikelreihe dazu gestartet, wie „damals“ zu den Rechten der betroffenen Personen und den Rechtsgrundlagen für die Verarbeitung auch schon. Relativ unbeachtet geblieben sind bislang die gleichzeitig von der EU-Kommission veröffentlichten Standardvertragsklauseln gem. Art. 28 Abs. 7 DSGVO. Um sie in der Benennung von den anderen, für den Drittstaatentransfer gedachten, SCC unterscheiden zu können, werden wir die Standardvertragsklauseln gemäß Art. 28 Abs. 7 DSGVO nachfolgend SCC AV (also SCC für Auftragsverarbeitung) nennen.

Ähnlich den bekannten Standardmustern

Die Struktur der SCC AV ähnelt der Struktur der SCC für Drittstaatentransfer. Interessanterweise ähnelt der Inhalt der SCC AV jedoch den seit 2018 bekannten Standardmustern der Verbände deutlich. Insbesondere das Muster der Gesellschaft für Datenschutz und Datensicherheit (GDD, siehe Praxishilfe IV), welches eine hohe Verbreitung genießt, könnte rein inhaltlich als Muster für die SCC AV der EU-Kommission hergehalten haben.

Einerseits ist das erfreulich, weil wir alle das GDD-Muster in- und auswendig kennen und damit bislang recht gut klargekommen sind. Andererseits hat die Kommission mit der Übernahme und nur geringfügigen Anpassung der altbekannten Regelungen auch Verbesserungspotenzial verschenkt. Positiver Nebeneffekt der Anlehnung an die bekannten Muster ist, dass mit den SCC AV die Anforderungen an zukünftige Vereinbarungen zur Auftragsverarbeitung auf einem nicht allzu hohen Niveau festgelegt wurden. Verantwortliche, welche die SCC AV als Vertragsmuster nutzen, können sicher sein, dass die vertragliche Grundlage die Anforderungen des Art. 28 DSGVO erfüllt und somit (von den individuellen Vereinbarungen in den Anlagen) keine Gefahr besteht, aus formalen Gründen eine Rüge einer Aufsichtsbehörde für den Datenschutz zu bekommen. Dies gilt zumindest solange, bis irgendwann in der Zukunft beispielsweise der EuGH entscheiden könnte, dass die SCC AV – aus welchem Grund auch immer – nicht den Vorgaben der DSGVO entsprechen.

AV-Verträge sind häufig Minimallösung

Es muss klar gesagt werden: Die bisher im Einsatz befindlichen Standardmuster für solche Vereinbarungen wirkten schon etwas wie eine Alibi-Vereinbarung. Wer es sich einfach machen wollte, nutzte sie und konnte davon ausgehen, dass auch die Vertragspartner diese Muster kannten, wenn nicht sogar selbst nutzten. Das war für Vertragsverhandlungen ungemein praktisch, war doch kaum Widerstand oder Widerspruch der Datenschutzbeauftragten zu befürchten.

Mit den SCC AV wird es zukünftig voraussichtlich noch einfacher, denn nun liegen ähnliche Vereinbarungen wie bisher sogar mit „offizieller Freigabe“ vor. Wer es sich zukünftig einfach machen möchte und dabei auf Nummer sicher gehen will, nutzt also die SCC AV und kann davon ausgehen, dass zumindest aus formaler, vertraglicher Sicht noch weniger Gefahr droht, als bislang. Sollte dennoch mal ein „gegnerischer“ Datenschutzbeauftragter etwas zu bemängeln haben, kann man auf die Freigabe der EU-Kommission verweisen. Eigentlich sollten mit dieser Argumentation alle Einwände entkräftet werden können.

Einfache Regelung – Praxisbezug gering

Offen gesagt sind wir aber keine uneingeschränkten Fans der neuen SCC AV. Diese enthalten Regelungen, die unseres Erachtens ohne jeglichen Praxisbezug entstanden sind. Man kann diese nutzen, speziell wenn es sich um einfach strukturierte Verarbeitungen handelt, die beauftragt werden sollen. Je spezieller es jedoch wird, desto weniger werden die SCC AV passen. Und hier kommt der größte Nachteil der SCC AV: Klausel 2 verbietet jegliche Änderung an den SCC AV. Mit Ausnahme der wenigen Optionen, die von der EU-Kommission vorgesehen sind (und die sich in den meisten Fällen auf die Wahl der Verordnung, auf die sie sich beziehen sollen [das wären die DSGVO und die Verordnung (EU) 2018/1725 , also die „DSGVO“ für Organe der EU], beschränken) bleibt den Vertragsparteien also kaum Spielraum, auf komplexere Verarbeitungen einzugehen. Es wird also auch zukünftig voraussichtlich individuelle AV-Verträge geben, die von den SCC AV abweichen.

Eigene Vereinbarungen weiterhin möglich

Da die SCC AV nicht verpflichtend genutzt werden müssen, wird es voraussichtlich zukünftig auch weiterhin komplexere und von den SCC AV abweichende Regelungswerke zur Auftragsverarbeitung geben. Wir werden in unserer Beratungspraxis vorausschtlich für „einfache“ Vereinbarungen zur Auftragsverarbeitung von den bisherigen Vertragsmustern auf die SCC AV umschwenken. Sobald es aber etwas komplexer wird in den Verarbeitungen, werden wir – wie bisher auch – unser eigenes Vertragsmuster einsetzen, welches deutlich mehr Möglichkeiten bietet und deutlich komplexere Verarbeitungssituationen abdeckt.

Sind Sie Auftragsverarbeiter? Wir empfehlen, eine eigene Standardvereinbarung zur Auftragsverarbeitung zu entwickeln und diese mit allen Ihren Auftraggebern zu nutzen. Melden Sie sich, wir unterstützen Sie dabei!

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2019/05/european-parliament-1274765.jpg 1406 2384 Datenschutzbeauftragter/tma /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/tma2021-08-02 15:43:032021-08-19 17:25:30EU-Kommission veröffentlicht Standardvertragsklauseln für innereuropäische Auftragsverarbeitung
Das könnte Sie auch interessieren
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-in EuGH kippt Safe Harbor
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo Erhebung personenbezogener Daten
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselung Datenverarbeitung zu Werbezwecken unter der DSGVO
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen Die Zweckänderung für Forschungszwecke unter der DSGVO
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitung Störerhaftung bei öffentlichen WLAN-Zugängen
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselung Anforderungen an die Datenschutzerklärung einer Website

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Anonymisierung von personenbezogenen Daten – was bedeutet das (nicht)? Link to: Anonymisierung von personenbezogenen Daten – was bedeutet das (nicht)? Anonymisierung von personenbezogenen Daten – was bedeutet das (nicht)?anonymisierung Link to: Serie zu den neuen Standardvertragsklauseln – Daten-übermittlung vom Verantwortlichen an Auftragsverarbeiter (C2P) Link to: Serie zu den neuen Standardvertragsklauseln – Daten-übermittlung vom Verantwortlichen an Auftragsverarbeiter (C2P) gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersSerie zu den neuen Standardvertragsklauseln – Daten-übermittlung vom Verantwortlichen...
Nach oben scrollen Nach oben scrollen Nach oben scrollen