Datenschutz bei Verträgen – Was ist zu beachten?

Die DSGVO ist seit dem 25.05.2018 anwendbar. Bezüglich der Verarbeitung von personenbezogenen Daten trifft die DSGVO und das neue Bundesdatenschutzgesetz (BDSG-neu) Regelungen, die bereits im alten Bundesdatenschutz (BDSG-alt) niedergeschrieben waren. Darüber hinaus sind allerdings zahlreiche neue Regelungen hinzu gekommen, z.B. im Bereich der Transparenz- und Informationspflichten, der Betroffenenrechte, des Arbeitnehmerdatenschutzes, der Stellung des Datenschutzbeauftragten, der Auftragsverarbeitung und der Höhe von Bußgeldern bei Verstößen gegen die datenschutzrechtlichen Bestimmungen. 

Auf den Vertragsschluss mit Kunden wirken sich die neuen Bestimmungen dann unmittelbar aus, wenn ein Auftragsverarbeitungsverhältnis i.S.d. Art. 28 DSGVO vorliegt. Wenn ein Auftragsverarbeitungsverhältnis, insbesondere nach dem Austausch mit dem Datenschutzbeauftragten, bejaht werden kann, muss zusätzlich zu den getroffenen vertraglichen Regelungen für das Dienstverhältnis ein eigener Auftragsverarbeitungsvertrag nach den Vorgaben des Art. 28 DSGVO, insbesondere nach Art. 28 Abs. 3 DSGVO, geschlossen werden. Neben der Regelung eines Auftragsverarbeitungsvertrages mit den Mindestangaben nach Art. 28 DSGVO sind weitere datenschutzrechtliche Pflichten im Kundenverhältnis zu beachten, wozu u.a. folgende gehören: Existiert für den Fall der Verarbeitung von personenbezogene Daten eine entsprechende Rechtsgrundlage? Wurden alle Informationspflichten gem. Art. 12 ff. DSGVO transparent erfüllt? Wurde der Verarbeitungsprozess hinsichtlich personenbezogener Daten von Kunden in das eigene Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen? Werden die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO ausreichend eingehalten? Muss die eigene Datenschutzerklärung in Bezug auf Verarbeitunstätigkeiten von Kundendaten geändert bzw. ergänzt werden?

Bei diesen und weiteren datenschutzrechtlichen Fragen sollten Unternehmen sich mit dem eigenen Datenschutzbeauftragten austauschen und Gebrauch von der Beratungsfunktion des Datenschutzbeauftragten machen. 

Auftragsverarbeitungs-Vertrag

Ein Auftragsverarbeitungsvertrag oder Auftragsverarbeitungs-Vertrag, kurz AVV, beinhaltet neben vertraglichen Regelungen im Anhang in der Regel auch eine Auflistung der jeweiligen einschlägigen technisch-organisatorischen Maßnahmen des Auftragsverarbeiters. Der Begriff der Auftragsverarbeitung war früher im BDSG-alt noch unter dem Begriff Auftragsdatenverarbeitung, kurz ADV oder ADV-Vertrag, geregelt. Auch heute noch ist der Begriff Auftragsdatenverarbeitung und insbesondere die Abkürzung ADV oder ADV-Vertrag sehr geläufig und wird sogar größtenteils häufiger verwendet als die aktuelle und richtige Terminologie.

Mit den vorgegebenen notwendigen Bestandteiles eines Auftragsverarbeitungsvertrages möchte der europäische Gesetzgeber sicherstellen, dass für den Fall der Übertragung von personenbezogenen Daten auf Basis eines Auftragsverarbeitungsverhältnisses die datenschutzrechtlichen Vorgaben von beiden Parteien eingehalten werden. Insbesondere der Auftragsverarbeiter muss die in Art. 28 DSGVO genannten Maßnahmen treffen und einhalten, denn die in der DSGVO neu geregelte gemeinsame Haftung kann schwerwiegende Folgen für den Verantwortlichen (Auftraggeber) und den Auftragsverarbeiter haben vgl. Art. 82 ff. DSGVO. 

Bestandteile eines Auftragsverarbeitungs-Vertrages

Ein Auftragsverarbeitungsvertrag muss insbesondere folgende Punkte regeln: 

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorien der betroffenen Personen
• Pflichte und Rechte des Verantwortlichen

Folgende Punkte müssen ebenfalls in einem Auftragsverarbeitungsvertrag geregelt sein:

• Eine Verarbeitung von personenbezogenen Daten erfolgt nur nach dokumentierter Weisung des Auftraggebers, auch wenn die Daten in ein Drittland oder eine internationale Organisation übermittelt werden
• Gewährleistung, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessen Verschwiegenheitspflicht unterliegen 
• Alle gem. Art. 32 DSGVO erforderlichen Maßnahmen müssen durch den Auftragsverarbeiter eingehalten werden
• Die in Art. 28 Abs. 2 und Abs. 4 DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters müssen geregelt und eingehalten werden
• Der Auftragsverarbeiter muss nach Möglichkeit angesichts der Art der Verarbeitung den Verantwortlichen mit geeigneten technisch-organisatorischen Maßnahmen bei der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Betroffenenrechte) der DSGVO geregelten Rechte der betroffenen Personen unterstütze
• Der Auftragsverarbeiter unterstützt den Verantwortlichen, unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen, bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO 
• Der Auftragsverarbeiter muss alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen löschen oder zurückgeben (je nach Wahl des Verantwortlichen) und alle Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht
• Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung 
• Der Auftragsverarbeiter ermöglicht dem Verantwortlichen Überprüfungen und Inspektionen die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden und leistet hierzu auch einen Beitrag i.S.d. Art. 28 Abs. 3 lit. h) DSGVO. 

Weitere Vorgaben für den Inhalt eines Auftragsverarbeitungsvertrages regeln Art. 28 und Art. 29 DSGVO. Auch diese Voraussetzungen müssen berücksichtigt werden. Bei der vertraglichen Konzeption von Auftragsverarbeitungsverträgen unterstützt Sie Ihr Datenschutzbeauftragter. 

Muster eines Auftragsverarbeitungs-Vertrages

In unserem Muster-Auftragsverarbeitungsvertrag sind die grundlegenden Punkte, die in ein AV-Vertrag beinhalten muss, geregelt. Eine Individualisierung muss aber dennoch für jedes einzelne Auftragsverarbeitungsverhältnis erfolgen: Insbesondere Punkte wie Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen, sowie  Pflichte und Rechte des Verantwortlichen sind individuell zu regeln. Auch weitere essentielle Punkte des AV-Vertrages bedürfen einer individuellen Anpassung. Das hier zur Verfügung gestalte Muster ist lediglich eine Vorlage, die noch individuell auf das jeweilige Auftragsverhältnis angepasst werden muss. Ihr Datenschutzbeauftragter berät und unterstützt Sie bei der individuellen Erstellung von datenschutzkonformen Auftragsverarbeitungsverträgen. 

Einwilligungserklärung

Eine datenschutzrechtliche Einwilligungserklärung nach der DSGVO ist kein Vertrag im juristischen Sinne. Vielmehr handelt es sich bei der Einwilligungserklärung um eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, vgl. Art. 6 Abs. 1 lit. a) DSGVO. Beliebte Anwendungsfälle einer Einwilligung sind z.B. die Anmeldung für einen E-Mail-Newsletter oder eine Einwilligung für die Anfertigung und Veröffentlichung von Mitarbeiterfotos für die Unternehmenswebsite. Darüber hinaus gibt es noch viele weitere Bereiche, in denen eine personenbezogene Datenverarbeitung nur auf der Basis einer Einwilligung durch die betroffene Persone erfolgen kann. Die Einwilligungserklärung wird von der Stelle zur Verfügung, die für die stattfindende Datenverarbeitung erfolgt ist und wird von dem Inhaber der jeweiligen betroffenen personenbezogenen Daten unterzeichnet. 

Bestandteile einer Einwilligungserklärung

Die Einwilligungserklärung ist in der europäischen Datenschutz-Grundverordnung in den Art. 4 Nr. 11, 6 Abs. 1 lit. a), 7 und 8 DSGVO geregelt. Eine Einwilligungserklärung muss stets freiwillig von der betroffenen Person erklärt werden. Darüber hinaus muss die Willensbekundung durch die betroffene Person informiert und unmissverständlich erfolgen. Ferner muss die Einwilligung durch eine Form der Erklärung oder eine sonstige eindeutige bestätigende Handlung durch die betroffene Person abgegeben werden. Wichtig ist in diesem Zusammenhang auch, dass der Verantwortliche nachweisen können muss, dass die Verarbeitung auf einer Einwilligung beruht, Art. 7 Abs. 1 DSGVO. Bei dem Beispiel Newsletter via E-Mail-Versand muss die Einwilligungserklärung auf einem Double-Opt-In-Verfahren basieren.

Das Ersuchen um die Einwilligung muss in verständlicher und leicht zugänglicher Form stattfinden, und in einer klaren und einfachen Sprache erfolgen, wenn die Einwilligung schriftlich erfolgen soll und diese mehrere Sachverhalte betrifft, damit eine Abgrenzbarkeit möglich ist, vgl. Art. 7 Abs. 2 DSGVO. Die betroffene Person ist ferner über das Widerrufsrecht mit der jeweiligen Wirkung zu unterrichten und der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Zu berücksichtigen ist ferner das Kopplungsverbot gem Art. 7 Abs. 4 DSGVO.

Die Einwilligung muss auf eine informierte Weise eingeholt werden: Das bedeutet, dass sämtliche Informationspflichten gem. Art. 12 ff. DSGVO im Rahmen der Einholung der Einwilligung erfüllt werden müssen. Für die Einholung einer Einwilligung von Kindern gelten besondere Bedingungen, die in Art. 8 DSGVO niedergelegt sind. 

Muster einer Einwilligungserklärung

Bei unserer Muster-Einwilligungserklärung handelt es sich lediglich um eine allgemeine Vorlage. Diese muss auf den individuellen personenbezogenen Datenverarbeitungsprozess, für die die Einwilligung benötigt wird, angepasst werden. Dies gilt insbesondere für die nach Art. 12 ff. DSGVO anzugebenden Informationen. Konsultieren Sie Ihren Datenschutzbeauftragten für eine individuelle Einwilligungserklärung, um alle datenschutzrechtlichen Vorgaben zu erfüllen. 

Wann ist keine gesonderte Zustimmung nötig?

Ein Auftragsverarbeitungsvertrag ist immer nur dann abzuschließen, wenn auch tatsächlich ein Auftragsverarbeitungsverhältnis i.S.d. DSGVO vorliegt. Eine Einwilligung muss dann von der betroffenen Person eingeholt werden, wenn keine andere Rechtsgrundlage die personenbezogene Datenverarbeitung rechtfertigt. Art. 6 Abs. 1 nennt einige Rechtsgrundlagen, auf deren Basis eine personenbezogene Datenverarbeitung erfolgen kann:

• Die Verarbeitung von personenbezogenen Daten ist für die Vertragserfüllung, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs.1 lit. b) DSGVO). 
• Die Verarbeitung von personenbezogenen ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c) DSGVO)
• Die Verarbeitung von personenbezogenen Daten ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d) DSGVO)
• Die Verarbeitung von personenbezogenen Daten ist für die Aufgabenwahrnehmung erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO)
• Die Verarbeitung von personenbezogenen Daten ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wess es sich bei der betroffenen Person um ein Kind handelt (Art. 6 Abs. 1 lit. f) DSGVO)

Beispielsweise ist bei einem Mietvertrag mit einem Verbraucher die richtige Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Auch in anderen vertraglichen Beziehungen, insbesondere im Bereich von Dienstleistungen, ist die korrekte Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. 

Strafen bei Verstößen gegen DSGVO und BDSG

Diese datenschutzrechtlichen Vorgaben für Auftragsverarbeitungsverträge, Einwilligungen oder alle in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen müssen von Verantwortlichen eingehalten werden, um kein mögliches Bußgeld zu riskieren: Gem Art. 83 Abs. 4 lit. a) DSGVO können Verstöße gegen die Bestimmungen zur Auftragsverarbeitung gem. Art. 28 ff. DSGVO mit Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert werden, je nachdem, welcher der Beträge höher ist. 

Für Verstöße gegen die Vorgaben in Bezug auf Einwilligungserklärungen gem. Art. 6 Abs. 1 lit. a), 7 DSGVO und gegen die rechtlichen Vorgaben für Verarbeitungen gem. Art. 6 DSGVO drohen gem Art. 83 Abs. 5 lit. a) DSGVO Geldbußen in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Regelungen in Arbeitsverträgen und Vertraulichkeitsvereinbarungen

Datenschutzrechtliche Bestimmungen finden sich gelegentlich auch in Arbeitsverträgen. Bezüglich Arbeitnehmer sind besondere Regelungen aus dem neuen Bundesdatenschutzgesetz zu berücksichtigen. Besonders wichtig ist allerdings die Verpflichtung von Arbeitnehmern auf das Datengeheimnis. Diese Pflicht ergibt sich aus Art. 32 Abs. 1 lit. b) 2. Var. DSGVO. Empfehlenswert ist in diesem Zusammenhang, die Dokumente zur Verpflichtung auf das Datengeheimnis als Anhang zum Arbeitsvertrag bei neuen Mitarbeitern auszugeben. Bereits eingestellte Mitarbeiter sollten unmittelbar die Verpflichtungserklärung auf das Datengeheimnis erhalten und gegenzeichnen. Ein individuelles Dokument für die Verpflichtungserklärung auf das Datengeheimnis erhalten Sie von Ihrem Datenschutzbeauftragten.  

Mit Dienstleistern, die zwar keine Auftragsverarbeiter sind, allerdings potentiell oder tatsächlich Zugriff auf personenbezogene Daten haben, ist der Abschluss einer Vertraulichkeitsvereinbarung (NDA, engl. für “non-disclosure agreement”) zu empfehlen. Auf diese Weise können Unternehmen vertraglich die Verschwiegenheitspflichten ihrer Dienstleister, insbesondere in Bezug auf personenbezogene Daten, festhalten. Empfehlenswert ist eine Vertraulichkeitsvereinbarung z.B. bei dem Einsatz von externen Reinigungsdiensten. Auch in diesem Zusammenhang sollten Sie mit Ihrem Datenschutzbeauftragten eine individuelle Vertraulichkeitsvereinbarung für Ihre Dienstleister anfertigen.