Nach der DSGVO müssen Verantwortliche und Auftragsverarbeiter bekanntlich eine Vereinbarung i.S.v. Art. 28 Abs. 3 DSGVO schliessen (Auftragsdatenverarbeitungsvereinbarung, ADV). Art. 28 Abs. 6 DSGVO sieht vor, dass ADV ggf. auf Standardvertragsklauseln (Standard Contractual Clauses, SSC) beruhen können.
Auf dieser Basis hat die dänische Datenschutzaufsichtsbehörde dem Europäischen Datenschutzausschuss (EDSA) einen Entwurf solcher SSC vorgelegt. Es dürfte sich dabei wohl um das auf der Website der Behörde verfügbare Musterdokument verfügbare Musterdokument handeln.
Interessant sind vor allem die folgenden Bemerkungen des EDSA, die sich zwar auch vorgeschlagene SCC beziehen, aber auch für ADV in Einzelfällen relevant sind und bei den Vertragsverhandlungen von ADV argumentativ verwendet werden könnten. Solche Verhandlungen sind in der Praxis immer häufiger und zunehmend anspruchsvoll.
- Generell ist es sinnvoll, sich bei der Formulierung der ADV am Wortlaut von Art. 28 DSGVO anzulehnen, um den Eindruck zu vermeiden, dass Abweichungen beabsichtigt sind.
- Dauer: ADV sollten nicht separat von der zugrundeliegenden Dienstleistungsvereinbarung beendet werden können, solange die Datenverarbeitung fortdauert. In der Praxis beginnen ADV spätestens mit der ersten Datenverarbeitung und enden frühestens bei ihrem Ende.
- Datensicherheitsmassnahmen:
- Die vom Auftragsverarbeiter zu treffenden Datensicherheitsmassnahmen müssen jeweils – also während der gesamten Dauer der Auftragsverarbeitung – den technischen Fortschritt berücksichtigen.
- In einem Anhang sollte der ADV die Mindestmassnahmen festlegen. In der Praxis ist das entsprechend einer früheren Regelung des deutschen BDSG oft noch der Fall; die DSGVO schreibt das aber nicht zwingend vor.
- Unterbeauftragte:
- ADV sollten in einem Anhang alle vorab genehmigten Unterbeauftragten auflisten, damit der Verantwortliche über Änderungen konkret informiert bleibt. In der Praxis erfolgt dies oft nicht, jedenfalls dann nicht, wenn alle Konzerngesellschaften des Auftragsverarbeiters als Unterbeauftragte genehmigt werden.
- Bei neuen Unterbeauftragten muss der Verantwortliche eine echte Wahl haben, was u.a. eine angemessene Frist für sein Vetorecht voraussetzt.
- Der EDSA begrüsst ausdrücklich die Verpflichtung des Auftragsverarbeiters, in Unteraufträgen Direktansprüche des Verantwortlichen gegenüber dem Unterbeauftragten vorzusehen, die bspw. bei Insolvenz des Auftragsverarbeiters greifen können.
- Der Verantwortliche muss ein Auditrecht direkt beim Unterbeauftragten haben.
- Unterstützung: ADV sollten die Unterstützungspflichten des Auftragsverarbeiters konkret regeln. Bspw. sollten sie festlegen, ob der Auftragsverarbeiter Betroffenenanfragen nur weiterleitet (und wenn ja mit welcher Frist) oder nach den Weisungen des Verantwortlichen bearbeitet, und ob er mit Betroffenen direkt interagieren darf oder nicht usw.
- Konkretisierung der Verarbeitung: Die ADV muss bekanntlich die Verarbeitung konkretisieren durch Angabe von Gegenstand und Dauer und von Art und Zweck der Verarbeitung, der Art der betroffenen Personendaten und der Kategorien betroffener Personen. Laut EDSA muss diese Angabe „in the most detailed possible manner“ erfolgen, für jede einzelne von der ADV erfasste Verarbeitung.