Unternehmen müssen seit dem Inkrafttreten der DSGVO im Jahr 2018 neue Anforderungen an den Datenschutz beachten. Eine Herausforderung stellt es dabei dar, wenn die Datenverarbeitung in den USA erfolgt. Mit diesen ist ein Auftragsverarbeitungsvertrag abzuschließen. Fehler können dabei zu empfindlichen Bußgeldern führen.
Auftragsverarbeitungsverträge auch im Inland
Auftragsverabeitungen benötigen den betreffenden Vertrag nicht nur bei Verträgen mit Unternehmen in anderen Staaten, sondern auch im Inland. Für die nötigen Auftragsverarbeitungsverträge hat die Europäische Kommission jetzt neue Standardvertragsklauseln veröffentlicht. Diese sehen laut den Artikeln 28, 44 ff. DSGVO vor, dass im Auftragsverarbeitungsvertrag mit der dritten Partei geeignete Garantien implementiert werden, die den Datenschutz gewährleisten. Hintergrund: Der Auftraggeber bleibt trotz einer externen Datenverarbeitung für den Datenschutz stets der Hauptverantwortliche. Er muss dessen Einhaltung durch den extern beauftragten Dienstleister sicherstellen.
Mögliche Bußgelder bei mangelndem Datenschutz in der Auftragsverarbeitung
Die DSGVO sieht bei Fehlern durch die Datenverarbeitung durch einen externen Dienstleister die üblichen Bußgelder für den Auftraggeber vor, die bis 4 % des weltweiten Jahresumsatzes bzw. bis zu 20 Millionen Euro reichen können. Daher ist der datenschutzkonforme Auftragsverarbeitungsvertrag essenziell für jedes Unternehmen, das die Datenverarbeitung Dritten überlässt.
Um Rechtsunsicherheiten zu vermeiden, nutzen die meisten Unternehmen bereits im internationalen Datentransfer die EU-Standardvertragsklauseln. Meistens werden sie in die AGB integriert. Diese Standardvertragsklauseln gab es schon seit 2010, also schon vor dem Inkrafttreten der DSGVO. Seit diesem Zeitpunkt (Mai 2018) galten sie als veraltet.
Damit beschäftigten sich unter anderem die EuGH-Richter im sogenannten „Schrems-II“-Urteil im Juli 2020, das allerdings vorrangig auf Datenübermittlung an Drittländer abzielte. Die EU-Kommission hat nun eine Aktualisierung der Standardregelungen vorgenommen und schafft damit mehr Rechtssicherheit. Das hilft vor allem den KMU, die durch die Anwendung der Standardvertragsklauseln die gesetzlichen Anforderungen sicherer erfüllen und mögliche Haftungsrisiken vermeiden können. Anzuwenden sind die neuen Standardvertragsklauseln für Neuverträge spätestens ab dem 27.09.2021, für Altverträge ab dem 27.12.2022.
Sinnvolle Ausgestaltung der Standardvertragsklauseln
Die EU-Standardverträge sparen Arbeitszeit und führen damit zur ökonomisch effizienten Anwendung des europäischen Datenschutzrechts. Eine sinnvolle Ausgestaltung kann unter anderem so aussehen:
- Da die Klauseln bei der Anwendung durch Wirtschaftsunternehmen ausschließlich den Datentransfer zwischen ihnen betreffen, können sämtliche Optionen für den Datentransfer zwischen Behörden extrahiert werden.
- Es ist sinnvoll, Unterauftragsverarbeitern eine 30-tägige Ankündigungsfrist für die Option der allgemeinen schriftlichen Genehmigung zu gewähren.
- Die TOMs (technische und organisatorische Maßnahmen) können vorangekreuzt sein. Sie müssen ohnehin eingehalten werden. Hierbei gibt es stets geltende Mindestanforderungen. Sollten zusätzliche Anforderungen hinzukommen, sind diese separat auszufülle.
- In Standardverträgen mit Unternehmen außerhalb der EU sind die Koppelungsklauseln zu aktivieren.
Die EU-Kommission hat hierzu den Durchführungsbeschluss laut EU-Verordnung 2016/679 veröffentlicht.