EU-Standardvertragsklauseln als AVV
Die Einbindung von Auftragsverarbeitern entwickelt sich im Alltag oft zu einer zeitraubenden Diskussion um die richtigen Formulierungen. Wessen bzw. welcher Text soll für die Auftragsverarbeitungs-Vereinbarung (AV-V) verwendet werden? Der Text des Dienstleisters oder des Auftraggebers? Gibt es anerkannte Standards?
Wo ist eigentlich das Problem?
Über die Notwendigkeit, eine Auftragsverarbeitung vertraglich zumindest in Textform zu regeln, besteht gewöhnlich Einvernehmen. Ebenfalls unstrittig ist, dass der Text den Anforderungen aus Art. 28 DSGVO entsprechen muss. Viele Unternehmen halten dafür eigene Templates bereit. Viele dieser Templates basieren auf Vorlagen von Branchenverbänden. Vor allem große Unternehmen verwenden nach unserer Erfahrung individuell entwickelte, konzernweit geltende Texte.
Jeder will seinen eigenen Standard durchsetzen
Es ist verständlich, dass Unternehmen ihre Verträge möglichst einheitlich gestalten wollen. Die Steuerung von Lieferanten- und Kundenbeziehungen wird bei stark individualisierten Regelungen ansonsten schnell beliebig komplex und teuer. Schwierig wird es immer dann, wenn zwei Marktteilnehmer aufeinandertreffen und im (Eigen-) Interesse der Vereinheitlichung jeweils ihre eigenen Templates durchsetzen wollen.
Bei solchen Konfrontationen gewinnt in der Praxis dann oft der stärkere Vertragspartner. Der stärkere Partner setzt seinen Standard durch – und zwar unabhängig vom zugrundeliegenden Service. Das kann problematisch werden, wenn der Dienstleister eigentlich einen Standardservice anbietet, aufgrund der Marktmacht seiner Kunden aber unterschiedliche AV-V akzeptiert. Problematisch, weil ein Service mit unterschiedlichen Regeln je Kunde irgendwann nicht mehr als Standard bezeichnet werden kann.
Love it or leave it
Für uns gilt die einfache Regel: Anbieter eines Standardservices müssen Verträge nach dem Motto love it or leave it anbieten. Wer als Anbieter eines Standardservices individuelle Verträge bei seinen Kunden akzeptiert, erbringt keinen Standard mehr. Wer das Ganze dann weiter als Standard versucht zu betreiben, verspricht über die Verträge entweder Dinge, die er nicht einhalten kann (bzw. will) oder wird irgendwann Probleme im Service bekommen. Beides disqualifiziert eigentlich einen Dienstleister für eine Auftragsverarbeitung; es ist schlichtweg unseriös.
Wir legen noch ein Problem obendrauf: Die DSGVO fordert aus naheliegenden Gründen, dass Unterauftragsverarbeiter natürlich an dieselben Rechte und Pflichten zu binden sind wie der eigentliche Vertragspartner – das Regelwerk also durchgängig gilt. Vereinbart nun ein Subdienstleister für einen Standardservice individuelle AV-V auf der Kundenseite, wird es kaum gelingen, diese vertragliche Vielfalt auf Unterauftragsverarbeiter zu vererben.
Das Problem liegt nicht im Ziel, einheitliche AV-V zu verwenden. Das Problem ist die Vielzahl an vermeintlich einheitlichen AV-V, die hier immer wieder kollidieren. Wir lassen an dieser Stelle mal außer Acht, dass viele am Markt kursierenden AV-V zudem teilweise gravierende formelle Schwächen aufweisen. Man muss also genau hinschauen und zur Not auch verhandeln… ein Dilemma.
Falscher Fokus, TOMs vernachlässigt
Das ist alles nicht wirklich gut. Nach unserer Überzeugung bindet das Verhandeln des redaktionellen Teils der AV-V unnötig qualifizierte Kräfte auf beiden Seiten des Tisches – nicht immer mit dem richtigen Fokus. Denn, ist man sich endlich einig, wollen sich alle gerne nun endlich wieder anderen Themen zuwenden. Aber, der spannende Teil einer AV-V ist dann in der Regel noch gar nicht bearbeitet: die technisch organisatorischen Maßnahmen (TOMs), mit denen die wertvollen Daten abzusichern sind. Hier muss der Dienstleister den Auftraggeber von seinen Maßnahmen überzeugen. Schaut der nun nicht mehr genau hin, wird eventuell ein nicht angemessenes technisch organisatorisches Niveau festgelegt bzw. akzeptiert.
Die Bewertung, ob TOMs so akzeptabel sind, verantwortet im Wesentlichen natürlich der Auftraggeber; denn der Dienstleister kann schwerlich bewerten, wie schutzbedürftig die Daten tatsächlich sind. Hierfür müsste der Auftragsverarbeiter die Daten kontinuierlich analysieren. Das ist aber gewöhnlich nicht Bestandteil des Auftrags und wäre damit im Geiste einer Auftragsverarbeitung folglich unzulässig.
Fazit: Die Vielzahl der verschiedenen AV-V-Templates erscheint hier als Problemursache.
Welche Position hat der Gesetzgeber und die Aufsicht?
DSGVO
Die DSGVO sieht vor, dass sowohl die Kommission als auch eine Aufsichtsbehörde Standardvertragsklauseln festlegen kann (Art 28 Abs. 7 bzw. 8).
EU Kommission
Die Kommission hat Standardvertragsklauseln für den Binnenmarkt in allen EU-Sprachen veröffentlicht und bietet sie zum Download jedem zur Nutzung an.
Nationale Aufsicht
Einige der föderalen deutschen Aufsichtsbehörden stellen tatsächlich Texte auf ihren Websites bereit. Hierbei handelt es sich jedoch nicht um Standards, sondern um “Formulierungshilfen”.
Nun könnte man sagen, dass auch eine “Formulierungshilfe” einer Aufsichtsbehörde irgendwie bereits den Zweck eines Standards erfüllt. Dies trifft aber leider nicht zu, denn die verschiedenen Aufsichtsbehörden in Deutschland konnten sich offensichtlich nicht auf eine einheitliche Textempfehlung verständigen. Selbst, wenn alle Marktteilnehmer in Deutschland nun ausschließlich die Formulierungshilfe ihrer Aufsichtsbehörde verwendeten, gäbe es potentiell Probleme, wenn die Vertragspartner nicht aus demselben Bundesland kommen. Das Problem bleibt: Es gibt zu viele verschiedene Templates / Standards / Formulierungshilfen.
Positiv zu erwähnen ist das LDI NRW, also die Aufsichtsbehörde von Nordrhein-Westfalen; dort sind die EU-Standardvertragsklauseln für den Binnenmarkt verlinkt.
Wieso werden die EU-SCC für den Binnenmarkt nicht genutzt?!
Die von der EU-Kommission bereitgestellten Standardvertragsklauseln (Standard Contract Clauses, SCC) werden nach unserer Beobachtung am Markt nur von wenigen genutzt. Die Texte sind unseres Erachtens gelungen und praktikabel. Das Beste aber: Der redaktionelle Teil bringt Rechtssicherheit.
Das fragliche Dokument der EU Kommission ist offiziell der DURCHFÜHRUNGSBESCHLUSS (EU) 2021/915 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates. Im Artikel 1 dieses Beschlusses heißt es: “Die im Anhang aufgeführten Standardvertragsklauseln erfüllen die Anforderungen an Verträge zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725.”
Wir können und wollen hier keine abschließende rechtliche Bewertung abgeben. Wenn die EU-Kommission jedoch in einem offiziellen Beschluss mitteilt, dass ein bereitgestellter Text einer AV-V entspricht, wie sie im Art. 28 Abs. 3 und 4 gefordert wird, dann gibt es bezüglich der Rechtssicherheit wohl nicht mehr viel zu deuten. Mit diesem Text dürfte das Formerfordernis aus Art. 28 Abs. 3 und 4 also erfüllt sein. Hand aufs Herz: Darum geht es doch vielfach…, oder?
Keine öffentliche Diskussion
Wir können nicht ausschließen, dass es gute sachliche Gründe gibt, die EU SCC für den Binnenmarkt nicht zu verwenden. Wir kennen aber kaum sachlichen Gründe gegen die SCC (siehe letzter Abschnitt). Allerdings kennen wir auch kaum jemanden, der die EU SCC für den Binnenmarkt promotet. Uns ist lediglich die DSZ (Datenschutz Zertifizierungsgesellschaft mbH) bekannt. Die DSZ ermöglicht mit dem offiziellen Segen einer deutschen Aufsichtsbehörde (BaWü) die Zertifizierung von Auftragsverarbeitern als “Trusted Data Processor”. Im dafür einzuhaltenden “Code Of Conduct” werden die EU SCC für den Binnenmarkt natürlich nicht als die einzige, aber im Grunde als die Lösung für den Text einer AV-V benannt.
Im Schatten der SCC für Drittstaaten untergegangen?
Wir erinnern uns: Im Jahr 2021 hat die EU Kommission neue SCC für Drittstaaten veröffentlicht. Diese Texte wurden ungeduldig erwartet; denn man erhoffte sich, nach dem Schrems II Urteil des EuGH mit Hilfe dieser Klauseln endlich wieder Daten in die USA übertragen zu dürfen. Diese neuen SCC wurden entsprechend intensiv von den Medien aufgegriffen. Bei den Drittstaaten SCC handelte es sich um den Durchführungsbeschluss (EU) 2021/914. Der nummerisch folgende Durchführungsbeschluss (EU) 2021/915 beinhaltet die SCC für den Binnenmarkt und wurde taggleich veröffentlicht. Das mediale Echo war jedoch gering. Alles schaute nur auf die Möglichkeit, endlich wieder ohne Rechtsrisiken Daten in den USA verarbeiten zu dürfen.
Kann es sein, dass das Thema der SCC für den Binnenmarkt schlichtweg im Hype um die SCC für den Datentransfer in Drittstaaten untergegangen ist? Zugegeben, eine etwas verwegene Vermutung. Aber es gibt einige Indizien, die durchaus dafür sprechen. In unserer Beratungspraxis erleben wir tatsächlich, dass die EU-Texte schlichtweg nicht bekannt sind. Es gibt einfach nach wie vor nur wenige Stellen, die auf die EU SCC für den Binnenmarkt hinweisen. Selbst einschlägige IT- bzw. Datenschutz-Interessenverbände verweisen weiterhin auf eigene Texte.*
Was ist so gut an den EU-Standardklauseln für den Binnenmarkt?
Gibt es Kritik?
Da es bisher an Verbreitung und Bekanntheitsgrad fehlte, kennen wir kaum sachliche Kritik an den EU SCC für den Binnenmarkt. Uns wurde jedoch entgegengehalten, dass andere Templates auch Regelungen zur Vergütung enthalten und diese bei den EU SCC für den Binnenmarkt fehlen würden. Das ist für sich betrachtet erst einmal richtig. Wir betrachten das aber nicht als Defizit – im Gegenteil. Datenschutz sollte nicht separat bepreist werden. Soll heißen: Tätigkeiten zur Absicherung oder zur Kontrolle der TOMs verursachen Aufwände und müssen deshalb natürlich vergütet werden – wie jede andere Tätigkeit in der Leistungsbeziehung auch. Und genau deshalb gehören diese Aufwände von Beginn an eingepreist oder sind ggf. im zentralen Preisblatt des Vertrages gemeinsam mit allen anderen kommerziellen Regelungen abzubilden.
Und sollte es mal zu Schlechtleistungen kommen, für die noch keine kommerzielle Regel getroffen wurde, kennt das deutsche Zivilrecht ausreichend Regelungen (Schadenersatz). Wie gesagt, Datenschutz darf im Vertragskonstrukt keine Sonderrolle spielen; Datenschutz muss integraler Bestandteil der gesamten Leistungsbeziehung sein und genau so ist mit den Regeln zur Vergütung zu verfahren. Dies vorweggeschickt ist nach unserer Überzeugung die Abbildung von separaten kommerziellen Regelungen für den Datenschutz in einem AV-V Templates also kein Plus, sondern eher ein Manko. Der Einwand spricht somit eigentlich für die EU SCC und nicht gegen sie.
Reduzierte Prüfaufwände
Vereinfacht gesagt: Man muss die EU SCC für den Binnenmarkt im Prinzip nur einmal lesen, weil sie tatsächlich ein Standard sind. Der unveränderte Text darf zumindest als formell rechtssicher eingeschätzt werden. Im Gegensatz zu individuell bereitgestellten Templates muss keine Prüfung auf formelle Vollständigkeit und auf unzulässige Klauseln stattfinden. Es braucht also nur ein belastbares Commitment der Vertragsparteien, das tatsächlich die EU SCC für den Binnenmarkt verwendet werden (eindeutig über die Nummer des Durchführungsbeschlusses zu benennen). Ein Weg dorthin könnte die Vereinbarung sein, dass bei eventuellen Abweichungen (z.B. Kopierfehlern) automatisch die Original-Texte der EU gelten. So angewandt sparen die EU SCC für den Binnenmarkt (genutzt als AV-V) erhebliche Prüfaufwände.
Die Unabänderbarkeit wird ansonsten in Klausel 2 der SCC festgeschrieben – verbunden mit der Klarstellung, dass weitere Konkretisierungen und Ergänzungen natürlich zulässig sind. Abschwächen darf man das Datenschutzniveau allerdings nicht; diese Regelung ist aus den SCC für Drittstaaten bereits bestens bekannt. Unsere Empfehlung: EU SCC für den Binnenmarkt stets 1:1 verwenden, dies mit den Vertragspartnern einvernehmlich, verbindlich und dokumentiert klarstellen und dann die verbleibende Energie auf eine gute Beschreibung der Verarbeitungstätigkeiten und eine tiefgehende Bewertung der TOMs verwenden.
Eine Regelung für alle Sprachen
Es gibt noch einen weiteren Pluspunkt: Die EU SCC für den Binnenmarkt wurden für die gesamte EU erstellt. Das heißt, es ist unerheblich, in welcher EU-Sprache die EU SCC für den Binnenmarkt vorgelegt werden. Wer die deutsche Fassung kennt, weiß automatisch, was beispielsweise in einer griechischen Fassung steht (eine wunderschön klingende, aber für Mitteleuropäer nicht einfach zu lesende Sprache).
IT-Dienstleistungen werden innerhalb der EU zunehmend auch grenzüberschreitend erbracht. Selbst wenn wir eines Tages nur noch ein einziges einheitliches nationales AV-V-Template in Deutschland verwenden würden (wovon wir noch weit weg sind); es wird an Grenzen stoßen, die es in der EU eigentlich nicht mehr geben soll. Die EU SCC für den Binnenmarkt lösen dieses Problem auf – ganz im Geiste eines friedlich und kooperativ vereinten Europas.
*] Bei einer redaktionellen Prüfung im April 2024 können wir erfreut feststellen, dass die GDD e.V. inzwischen die EU-Standardvertragsklauseln für den Binnenmarkt auf ihrer Website verlinkt hat – also auf diese Lösung aktiv hinweist.
as of 2023-05-09
Update: 2023-06-02 (Überarbeitung und Ergänzung Abschnitt ‘Was ist so gut an den EU-Standardklauseln für den Binnenmarkt?‘)
Update: 2024-04-22 (GDD empfieht nun auch SCC)
Update: 2024-06-30 (Hinweis auf das LDI NRW)