Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021
über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO) (1), insbesondere auf Artikel 28 Absatz 7,
gestützt auf die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (EU-DSVO) (2), insbesondere auf Artikel 29 Absatz 7,
in Erwägung nachstehender Gründe:
(1) Die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ spielen eine entscheidende Rolle bei der Anwendung der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725. Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Für die Zwecke der Verordnung (EU) 2018/1725 bezeichnet der Ausdruck „Verantwortlicher“ das Organ oder die Einrichtung der Union oder die Generaldirektion oder sonstige Organisationseinheit, das beziehungsweise die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt. Sind die Zwecke und Mittel dieser Verarbeitung durch einen besonderen Rechtsakt der Union bestimmt, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien für seine Benennung nach dem Unionsrecht vorgesehen werden. Ein Auftragsverarbeiter ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(2) Für die Beziehung zwischen Verantwortlichen und Auftragsverarbeitern, die der Verordnung (EU) 2016/679 unterliegen, sollten dieselben Standardvertragsklauseln gelten – auch in dem Fall, wenn Verantwortliche und Auftragsverarbeiter unter die Verordnung (EU) 2018/1725 fallen. Grund ist, dass zur Gewährleistung einer einheitlichen Herangehensweise beim Schutz personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten innerhalb der Union die Datenschutzbestimmungen in der Verordnung (EU) 2016/679, die für den öffentlichen Dienst in den Mitgliedstaaten gelten, und die Datenschutzbestimmungen in der Verordnung (EU) 2018/1725, die für die Organe, Einrichtungen und sonstigen Stellen der Union anwendbar sind, so weit wie möglich angeglichen wurden.
(3) Damit die Anforderungen der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 bei der Betrauung eines Auftragsverarbeiters mit Verarbeitungstätigkeiten eingehalten werden, sollte der Verantwortliche nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen der Verordnung (EU) 2016/679 und der Verordnung (EU) 2018/1725 genügen.
(4) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 oder die in Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 aufgeführten Elemente festgelegt sind. Der Vertrag oder das Rechtsinstrument ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
(5) Gemäß Artikel 28 Absatz 6 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 6 der Verordnung (EU) 2018/1725 können der Verantwortliche und der Auftragsverarbeiter entweder einen individuellen Vertrag aushandeln, der die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 bzw. die in Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 aufgeführten obligatorischen Elemente enthält, oder Standardvertragsklauseln insgesamt oder teilweise verwenden, die von der Kommission gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 erlassen wurden.
(6) Dem Verantwortlichen und dem Auftragsverarbeiter sollte es freistehen, die in diesem Beschluss dargelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Anwendung der Standardvertragsklauseln gilt ungeachtet der vertraglichen Verpflichtungen des Verantwortlichen und/oder des Auftragsverarbeiters, die Einhaltung der geltenden Vorrechte und Befreiungen zu gewährleisten.
(7) Die Standardvertragsklauseln sollten sowohl materielle Rechte als auch Verfahrensrechte umfassen. Im Einklang mit Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 sollten die Standardvertragsklauseln den Verantwortlichen und den Auftragsverarbeiter auch verpflichten, den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der betreffenden personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegen.
(8) Gemäß Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, wenn er der Auffassung ist, dass eine Anweisung des Verantwortlichen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
(9) Wenn ein Auftragsverarbeiter einen anderen Auftragsverarbeiter zur Durchführung bestimmter Tätigkeiten in Anspruch nimmt, sollten die in Artikel 28 Absätze 2 und 4 der Verordnung (EU) 2016/679 oder in Artikel 29 Absätze 2 und 4 der Verordnung (EU) 2018/1725 verankerten speziellen Anforderungen Anwendung finden. Insbesondere ist eine vorherige gesonderte oder allgemeine schriftliche Genehmigung erforderlich. Unabhängig davon, ob es sich um eine gesonderte oder allgemeine Genehmigung handelt, sollte der erste Auftragsverarbeiter eine jeweils aktuelle Liste der anderen Auftragsverarbeiter führen.
(10) Zur Erfüllung der Anforderungen gemäß Artikel 46 Absatz 1 der Verordnung (EU) 2016/679 hat die Kommission Standardvertragsklauseln gemäß Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 erlassen. Diese Klauseln erfüllen auch die Anforderungen gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 für Datenübermittlungen von Verantwortlichen, die der Verordnung (EU) 2016/679 unterliegen, an Auftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung oder von Auftragsverarbeitern, die der Verordnung (EU) 2016/679 unterliegen, an Unterauftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung. Diese Standardvertragsklauseln können nicht als Standardvertragsklauseln im Sinne von Kapitel V der Verordnung (EU) 2016/679 verwendet werden.
(11) Dritte sollten die Möglichkeit haben, den Standardvertragsklauseln während der gesamten Laufzeit des Vertrags als Partei beizutreten.
(12) Die Anwendung der Standardvertragsklauseln sollte im Rahmen der nach Artikel 97 der Verordnung (EU) 2016/679 erforderlichen regelmäßigen Bewertung dieser Verordnung geprüft werden.
(13) Gemäß Artikel 42 Absätze 1 und 2 der Verordnung (EU) 2018/1725 wurden der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss konsultiert; diese haben am 14. Januar 2021 eine gemeinsame Stellungnahme (3) abgegeben, die bei der Ausarbeitung des vorliegenden Beschlusses berücksichtigt wurde.
(14) Die in diesem Beschluss vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 93 der Verordnung (EU) 2016/679 und Artikel 96 Absatz 2 der Verordnung (EU) 2018/1725 eingesetzten Ausschusses —
HAT FOLGENDEN BESCHLUSS ERLASSEN: