scc p2p standardvertragsklauseln neu bgb 273 zahlen mit daten

Serie zu den neuen Standardvertragsklauseln – Teil 3: Datenübermittlung zwischen Auftragsverarbeitern (P2P)

/von

Dies ist der dritte Artikel unserer Artikelreihe zu den neuen Standardvertragsklauseln (SCC).

Bisher haben wir uns zwei Situationen, die in den neuen SCC geregelt sind, angeschaut. Dies war zu einem die Übermittlung zwischen mehreren Verantwortlichen (C2C, Controller to Controller – Modul 1 der SCC). Zum anderen die Übermittlung von einem Verantwortlichen an einen Auftragsverarbeiter in einem Drittland (C2P, Controller to Processor – Modul 2 der SCC).

Der vorliegende Artikel beschäftigt sich mit der Situation, in der die Datenübermittlung von einem Auftragsverarbeiter an einen weiteren Unterauftragsverarbeiter erfolgt (P2P, Processor to Processor – Modul 3 der SCC).

Im letzten Artikel der Reihe wird es um die Datenübermittlung von einem Auftragsverarbeiter an einen Verantwortlichen gehen (P2C, Processor to Controller – Modul 4 der SCC).

Welches Auftragsverhältnis regeln die Standardvertragsklauseln zu Modul 3?

Die Berücksichtigung der Verarbeitungssituation Processor to Processor im Modul 3 ist eine der wichtigsten Neuerungen der aktualisierten Standardvertragsklauseln. Diese Regelungen fehlten in den alten SCC. Daher war es in solchen Konstellationen stets erforderlich, zwischen dem Verantwortlichen und einem Unterauftragsverarbeiter direkt Standardvertragsklauseln abzuschließen, obwohl zwischen dem jeweiligen Verantwortlichen und seinem Auftragsverarbeiter ein Auftragsverarbeitungsvertrag (AV-Vertrag) bereits bestand und gegebenenfalls auch Standardvertragsklauseln mit diesem vereinbart waren. Um es klar zu sagen: Die P2P-Situation war mit den alten Standardvertragsklauseln eigentlich nicht 100% rechtssicher abbildbar. Und das, obwohl solche Verarbeitungssituationen durch die immer stärkerer werdende Nutzung von Cloud-Services gerade in den letzten Jahren enorm zugenommen haben.

Daher waren solche Verarbeitungssituationen stets mit einem hohen organisatorischen und administrativen Aufwand für die Verantwortlichen verbunden. Zur Vermeidung dieses Aufwands gingen einige Verantwortliche so vor, dass sie ihre Auftragsverarbeiter im Rahmen der vertraglichen Regelung im AV-Vertrag bevollmächtigten, in ihrem Auftrag und Namen Standardvertragsklauseln mit den jeweiligen Unterauftragnehmern abzuschließen. Mit den neuen SCC ist eine solche Vertragsakrobatik nicht mehr notwendig, da die Auftragsverarbeiter selbst unter Verwendung des Moduls 3 der SCC einen Unterauftragsverarbeiter beauftragen können. In diesem Modul 3 finden sich alle Regelungen, die notwendig sind, um die notwendigen Garantien für einen Datentransfer in das Drittland zu bieten.

Ein Anwendungsbeispiel für das Modul 3

Zur Verdeutlichung nehmen wir einmal das Beispiel eines Verantwortlichen, der einen Auftragsverarbeiter mit der Erbringung von IT-Leistungen, beispielsweise der Bereitstellung einer Software als Online-Lösung (Software as a Service – SaaS), beauftragt. Dieser Auftragsverarbeiter nimmt nun für einen Teil der Leistungen weitere Unterauftragnehmer in Anspruch, beispielsweise einen Rechenzentrumsbetreiber, der ihm die zur Bereitstellung seiner Software erforderliche Infrastruktur bereitstellt, betreibt und wartet. In diesem Fall kann der Auftragsverarbeiter, den Rechenzentrumsbetreiber eigenständig beauftragen unter Verwendung der SCC in der Variante des Moduls 3.

Jeder Beteiligte schließt also immer nur einen Vertrag mit dem direkt benachbarten Glied in der Verarbeitungskette. Selbst weitere Beauftragungen durch einen Unterauftragsverarbeiter an weitere untergeordnete Dienstleister sind unter Verwendung des Moduls 3 der SCC denkbar und möglich.

Regelungen zum Verantwortlichen sowie den Pflichten des Datenexporteurs und -importeurs

Die Regelungen des Moduls 3 entsprechen im Wesentlichen den Klauseln des Moduls 2 (hierzu vgl. unseren Artikel zum Modul 2 der SCC). Dies erscheint auch sachgemäß, da in beiden Fällen ein weisungsgebundenes Auftragsverhältnis zu einem Auftragsverarbeiter konstituiert wird. Die Klausel 8.1 a) und b) des Modul 3 berücksichtigt dabei jedoch zusätzlich die Situation, dass an der Verarbeitung neben dem beauftragenden Datenexporteur und dem auftragnehmenden Datenimporteur noch ein Verantwortlicher als Hauptauftraggeber beteiligt ist. Dieser ist zwar nicht Vertragspartei der hier verwendeten Standardvertragsklauseln, dessen Weisungen an den Auftragsverarbeiter strahlen jedoch auf alle vorhandenen Unterauftragnehmer aus. Die Ziffern 8.1 a) und b) des Moduls 3 legen hierzu Folgendes fest [mit Hervorhebungen des Verfassers]:

a) Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als Auftragsverarbeiter nach den Weisungen seines/seiner Verantwortlichen fungiert, und der Datenexporteur stellt dem Datenimporteur diese Weisungen vor der Verarbeitung zur Verfügung.

b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie auf der Grundlage aller zusätzlichen dokumentierten Weisungen des Datenexporteurs. Diese zusätzlichen Weisungen dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen.  Der Verantwortliche oder der Datenexporteur kann während der gesamten Vertragslaufzeit weitere dokumentierte Weisungen im Hinblick auf die Datenverarbeitung erteilen.

Der Datenexporteur fungiert in dieser Konstellation also als eine Übermittlungsstelle, die Weisungen des Verantwortlichen dem Datenimporteur (Unterauftragnehmer) in der jeweils aktuellen bzw. fortlaufend aktualisierten Form vor der Verarbeitung zur Verfügung stellen muss. Auf diese Weise wird gewährleistet, dass der Verantwortliche seine Rechte und Pflichten gegenüber allen Auftragsverarbeitern in der Verarbeitungskette behält.

Regelungen zur Weiterübermittlung von Daten

Gemäß der Klausel 8.8 des Moduls 3 bedarf dabei jede weitere Übermittlung von personenbezogenen Daten an Dritte einer dokumentierten Weisung des Verantwortlichen. Diese Weisungen müssen dem Datenimporteur vom Datenexporteur mitgeteilt werden. Ein Unterauftragnehmer darf die Daten also nicht einfach an einen Dritten weiterübermitteln, ohne dass eine dokumentierte Weisung des Verantwortlichen vorliegt.

Besonders relevante Pflichten des Datenimporteurs

Entsprechend der Klausel 8.9 a) des Moduls 3, die Dokumentation und Einhaltung der Klauseln regelt, trifft den Datenimporteur (Unterauftragnehmer) insbesondere die Pflicht, Anfragen des Datenexporteurs oder des Verantwortlichen, die sich auf die Verarbeitung gemäß den Standardvertragsklauseln beziehen, umgehend und in angemessener Weise zu bearbeiten. Dabei stehen dem Verantwortlichen und dem Datenexporteur gemäß Klausel 8.9 d) – f) des Moduls 3 umfangreiche Informations- und Prüfrechte zu. Die Prüfungen können danach Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen.

Zum Nachweis der Einhaltung der Standardvertragsklauseln trifft den Datenimporteur gemäß Klausel 8.9 b) des Moduls 3 die Pflicht, geeignete Aufzeichnungen über die im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen. Gemäß Klausel 8.9 c) stellt der Datenimporteur dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in den Standardvertragsklauseln festgelegten Pflichten erforderlich sind, und der Datenexporteur stellt diese Informationen wiederum seinem Auftraggeber bereit. Hierbei kann es sich sowohl um den Verantwortlichen handeln als auch um einen weiteren Auftragnehmer in der Vertragskette. Durch das Modul 3 der SCC ist der Anzahl der Glieder der Auftragsketten keine generelle Grenze gesetzt.

Diese dokumentierten Informationen sind gem. Klausel 8.9 g) der zuständigen Aufsichtsbehörde auf deren Verlangen zur Verfügung zu stellen.

Den Datenimporteur trifft gemäß Klausel 10 b) zudem die Pflicht, den Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, zu unterstützen, soweit dieser Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der DSGVO bzw. der Verordnung (EU) 2018/1725 (zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr) beantworten muss. Der Datenimporteur darf also die Anfragen der betroffenen Personen nicht selbst beantworten. Diese Regelung ist die Umsetzung des Art. 28 Abs. 3 lit. 3 DSGVO.

Einsatz von weiteren Unterauftragsverarbeitern

Der Einsatz von weiteren Unterauftragsverarbeitern ist in der Klausel 9 geregelt. Hierbei haben die Parteien optional die Möglichkeit, entweder eine vorherige gesonderte (Option 1) oder eine allgemeine schriftliche Genehmigung (Option 2) zum Einsatz von Unterauftragnehmern durch den Datenexporteur zu vereinbaren. Wenn der Unterauftragsverarbeiter weitere Unterauftragsverarbeiter einsetzen möchte, muss er gemäß Artikel 9 a) des Moduls 3 entsprechend der 1. Option die Zustimmung des Verantwortlichen einholen bzw. dem Verantwortlichen entsprechend der 2. Option eine Möglichkeit einräumen, bei Änderungen der Unterauftragnehmer (Hinzufügung oder Ersetzung) Einwände gegen diese Änderungen erheben zu können. Hier haben wir (endlich) eine eindeutige Regelung zum Thema Unterauftragsverarbeiter, die sicherstellt, dass die Auslagerung einzelner Aufgaben im Rahmen von Auftragsverarbeitungen nicht ausartet. Allerdings kann diese Regelung auch dazu führen, dass der Verantwortliche Unmengen solcher Anfragen erhält und dadurch bei ihm hohe Aufwände für deren Prüfung anfallen.

Fazit

Die Regelungen des Moduls 3 halten wir für brauchbar. Die Möglichkeit, Übermittlungen von einem Auftragsverarbeiter an seine Unterauftragsverarbeiter in den Standardvertragsklauseln zu erfassen, war längst überfällig. Durch die umfangreichen Pflichten des Datenexporteurs und des Datenimporteurs wird sichergestellt, dass die Rechte des Verantwortlichen gestärkt und die der betroffenen Personen (z.B. auf Auskunftserteilung, Löschung) angemessen geschützt werden, und zwar über die gesamte Verarbeitungskette hinweg.

Für den Verantwortlichen vereinfachen die Möglichkeiten der neuen Standardvertragsklauseln in der Verarbeitungssituation Processor to Processor den organisatorischen und den administrativen Aufwand deutlich.

Benötigen Sie Unterstützung im Rahmen Ihrer Datenübermittlungen in ein Drittland? Rufen Sie uns an, wir helfen Ihnen gerne!

 

Dieser Artikel ist Teil unserer Reihe zu den neuen Standardvertragsklauseln. Die anderen Artikel finden Sie hier:


Diesen Beitrag teilen

Das könnte Dich auch interessieren
überprüfung tom ransomware trojanerÜberprüfung, Bewertung und Evaluierung der TOM – es wird ernst
konzern unternehmensgruppeDatenschutz in Unternehmensgruppen und Konzernen – was ist zu beachten?
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertMeldung des Datenschutzbeauftragten an die Aufsichtsbehörde – Erstes Testformular
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Zertifizierungen nach der DS-GVO
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoInformationspflichten nach der DSGVO
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoEinwilligung und Widerruf im Zusammenhang mit der DSGVO