Kostenlose Muster der EU für Datenschutzverträge
Kostenlose Vertragsmuster, frei verwendbar – das bietet die EU für die Auftragsverarbeitung und für die Datenübermittlung in „Drittstaaten“ wie die USA. Diese nützlichen Arbeitsinstrumente sollte man kennen.
Dokumentation ist alles
Verträge über die Verarbeitung von personenbezogenen Daten müssen dokumentiert sein. Mündliche Verträge reichen nicht. Das ist allgemein bekannt. Denn sonst lässt sich nicht nachweisen, dass der Datenschutz eingehalten ist. Aber wo findet man rechtssichere Muster? Für zwei wichtige Konstellationen fällt die Antwort inzwischen leicht: Im Juni 2021 hat die Europäische Kommission offizielle Vertragsmuster veröffentlicht, die sich mit den beiden Themen „Datenübermittlung in Drittstaaten“ und „Auftragsverarbeitung“ befassen.
Die Vertragsmuster sind frei verfügbar
Diese Muster darf jeder frei verwenden. Das verletzt in keiner Weise irgendein Urheberrecht. Die Muster stehen kostenlos zur Verfügung. Und zwar in allen 24 Amtssprachen der EU. Alles in offizieller Übersetzung, angefertigt von den Profis des EU-Übersetzungsdienstes. Vorlagen dieser Qualität könnten selbst große Unternehmen nur mit enormem Aufwand erstellen. Es handelt sich also um einen erheblichen Service der EU-Kommission.
Es gibt „sichere“ und „unsichere“ Drittstaaten
Ein Set von Musterverträgen befasst sich mit der Datenübermittlung in Drittstaaten. Drittstaaten sind alle Staaten, die kein Mitglied der EU sind. Für manche dieser Drittstaaten hat die Europäische Kommission offiziell festgestellt, dass sie gewissermaßen als „datenschutzrechtlich sicher“ gelten. Das ist etwa bei der Schweiz oder auch bei Japan der Fall. Für die meisten Drittstaaten gibt es eine solche Feststellung aber nicht. Wichtigstes Beispiel hierfür sind die USA.
Die Muster sorgen für Rechtssicherheit
Bei diesen „unsicheren“ Drittstaaten braucht man besondere Rechtsgrundlagen, um personenbezogene Daten an Unternehmen in diesen Staaten übermitteln zu dürfen. Ein wichtiges Rechtsinstrument hierfür sind die „EU-Standardvertragsklauseln“. Sie können verwendet werden, wenn ein Unternehmen in der EU personenbezogene Daten an Unternehmen in einen „unsicheren“ Drittstaat übermittelt.
Stichtag für die neuen Muster war der 27.6.2021
Die bisherigen Musterverträge der EU für die Übermittlung in Drittstaaten waren schon über zehn Jahre alt. In dieser Zeit gab es viele neue technische, aber auch rechtliche Entwicklungen. Schon deshalb war es notwendig, die Musterverträge anzupassen. Das ist jetzt geschehen. Seit dem 27.6.2021 sind die neuen Vorlagen maßgeblich. Verträge auf der Basis der alten Vertragsmuster müssen bis zum 27. Dezember 2022 angepasst werden.
Völlig neu: Vertragsmuster für die Auftragsverarbeitung
Völlig neu ist das Set von Musterverträgen für die Auftragsverarbeitung. Die Auftragsverarbeitung kommt vor allem ins Spiel, wenn ein Unternehmen externe Dienstleister einschaltet. Sie brauchen oft personenbezogene Daten von Kunden oder auch Mitarbeitern. Das sind typische Anwendungsfälle der Auftragsverarbeitung.
Sie passen auch innerhalb Deutschlands
Für die neuen „Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern“ ist es gleichgültig, ob der Dienstleister in Deutschland ansässig ist oder sonst wo in der EU. Sie sind gerade für den Fall gedacht, dass zwei Unternehmen innerhalb der EU eine Auftragsverarbeitung vereinbaren. Aber auch wenn die beteiligten Unternehmen in Deutschland ansässig sind, können sie die Klauseln verwenden. Sollte der Auftragsverarbeiter dagegen in einem Drittstaat ansässig sein, kommen die Standardvertragsklauseln für die Datenübermittlung in Drittstaaten zur Anwendung. Sie decken den besonderen Fall der Auftragsverarbeitung gewissermaßen mit ab.
Der „modulare Aufbau“ macht vieles leichter
Eine wichtige Neuerung bei allen Vertragsmustern ist der „modulare Aufbau“. Er soll ihre Anwendung so einfach wie möglich machen. Er prägt besonders die Vertragsmuster für die Übermittlung in Drittländer. Dort sind vier Module vorgesehen. Sie gehen auf die jeweilige Situation der beteiligten Unternehmen ein. So erfasst Modul 1 die Situation, dass die beteiligten Unternehmen sich sozusagen auf Augenhöhe gegenüberstehen. Dies ist dann der Fall, wenn die Datenübermittlung zwischen zwei gleichberechtigten Verantwortlichen stattfindet. Modul 2 passt dagegen für die Situation, dass ein Unternehmen in der EU Daten an einen Auftragsverarbeiter in einem Drittstaat übermittelt. Die Wahl des richtigen Moduls ist viel einfacher, als es zunächst wirkt. Und dann kann man gleich anfangen, das Vertragsmuster auszufüllen.