Datenschutz verstehen – Datenschutz bei Verträgen
Datenschutz und Verträge – Zwei Begriffe die oft gemeinsam in Erscheinung treten. Auch von sog. Datenschutzvereinbarungen ist oft die Rede. In der DSGVO existieren gewisse Vorgaben, die speziell vertraglich umgesetzt werden müssen. Zu nennen sind in diesem Zusammenhang Regelungen im Rahmen von Auftragsverarbeitungsverträgen. Auch wenn Einwilligungserklärungen keine Verträge im juristischen Sinne sind, müssen diese gewisse datenschutzrechtliche Mindestvorgaben aus der DSGVO und des BDSG-neu, ähnlich wie bei einer Datenschutzerklärung, beinhalten. In diesem Blogbeitrag erfahren Sie mehr zum Thema Auftragsverarbeitungsverträge und Einwilligungserklärungen.
Datenschutz bei Verträgen – Was ist zu beachten?
Die DSGVO ist seit dem 25.05.2018 anwendbar. Bezüglich der Verarbeitung von personenbezogenen Daten trifft die DSGVO und das neue Bundesdatenschutzgesetz (BDSG-neu) Regelungen, die bereits im alten Bundesdatenschutz (BDSG-alt) niedergeschrieben waren. Darüber hinaus sind allerdings zahlreiche neue Regelungen hinzugekommen, z.B. im Bereich der Transparenz- und Informationspflichten, der Betroffenenrechte, des Arbeitnehmerdatenschutzes, der Stellung des Datenschutzbeauftragten, der Auftragsverarbeitung und der Höhe von Bußgeldern bei Verstößen gegen die datenschutzrechtlichen Bestimmungen.
Auf den Vertragsschluss mit Kunden wirken sich die neuen Bestimmungen dann unmittelbar aus, wenn ein Auftragsverarbeitungsverhältnis i.S.d. Art. 28 DSGVO vorliegt. Wenn ein Auftragsverarbeitungsverhältnis, insbesondere nach dem Austausch mit dem Datenschutzbeauftragten, bejaht werden kann, muss zusätzlich zu den getroffenen vertraglichen Regelungen für das Dienstverhältnis ein eigener Auftragsverarbeitungsvertrag nach den Vorgaben des Art. 28 DSGVO, insbesondere nach Art. 28 Abs. 3 DSGVO, geschlossen werden. Neben der Regelung eines Auftragsverarbeitungsvertrages mit den Mindestangaben nach Art. 28 DSGVO sind weitere datenschutzrechtliche Pflichten im Kundenverhältnis zu beachten, wozu u.a. folgende gehören: Existiert für den Fall der Verarbeitung von personenbezogene Daten eine entsprechende Rechtsgrundlage? Wurden alle Informationspflichten gem. Art. 12 ff. DSGVO transparent erfüllt? Wurde der Verarbeitungsprozess hinsichtlich personenbezogener Daten von Kunden in das eigene Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen? Werden die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO ausreichend eingehalten? Muss die eigene Datenschutzerklärung in Bezug auf Verarbeitungstätigkeiten von Kundendaten geändert bzw. ergänzt werden?
Bei diesen und weiteren datenschutzrechtlichen Fragen sollten Unternehmen sich mit dem eigenen Datenschutzbeauftragten austauschen und Gebrauch von der Beratungsfunktion des Datenschutzbeauftragten machen.
Einwilligungserklärung
Eine datenschutzrechtliche Einwilligungserklärung nach der DSGVO ist kein Vertrag im juristischen Sinne. Vielmehr handelt es sich bei der Einwilligungserklärung um eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, vgl. Art. 6 Abs. 1 lit. a) DSGVO. Beliebte Anwendungsfälle einer Einwilligung sind z.B. die Anmeldung für einen E-Mail-Newsletter oder eine Einwilligung für die Anfertigung und Veröffentlichung von Mitarbeiterfotos für die Unternehmenswebsite. Darüber hinaus gibt es noch viele weitere Bereiche, in denen eine personenbezogene Datenverarbeitung nur auf der Basis einer Einwilligung durch die betroffene Persone erfolgen kann. Die Einwilligungserklärung wird von der Stelle zur Verfügung, die für die stattfindende Datenverarbeitung erfolgt ist und wird von dem Inhaber der jeweiligen betroffenen personenbezogenen Daten unterzeichnet.
Bestandteile einer Einwilligungserklärung
Die Einwilligungserklärung ist in der europäischen Datenschutz-Grundverordnung in den Art. 4 Nr. 11, 6 Abs. 1 lit. a), 7 und 8 DSGVO geregelt. Eine Einwilligungserklärung muss stets freiwillig von der betroffenen Person erklärt werden. Darüber hinaus muss die Willensbekundung durch die betroffene Person informiert und unmissverständlich erfolgen. Ferner muss die Einwilligung durch eine Form der Erklärung oder eine sonstige eindeutige bestätigende Handlung durch die betroffene Person abgegeben werden. Wichtig ist in diesem Zusammenhang auch, dass der Verantwortliche nachweisen können muss, dass die Verarbeitung auf einer Einwilligung beruht, Art. 7 Abs. 1 DSGVO. Bei dem Beispiel Newsletter via E-Mail-Versand muss die Einwilligungserklärung auf einem Double-Opt-In-Verfahren basieren.
Das Ersuchen um die Einwilligung muss in verständlicher und leicht zugänglicher Form stattfinden, und in einer klaren und einfachen Sprache erfolgen, wenn die Einwilligung schriftlich erfolgen soll und diese mehrere Sachverhalte betrifft, damit eine Abgrenzbarkeit möglich ist, vgl. Art. 7 Abs. 2 DSGVO. Die betroffene Person ist ferner über das Widerrufsrecht mit der jeweiligen Wirkung zu unterrichten und der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Zu berücksichtigen ist ferner das Kopplungsverbot gem Art. 7 Abs. 4 DSGVO.
Die Einwilligung muss auf eine informierte Weise eingeholt werden: Das bedeutet, dass sämtliche Informationspflichten gem. Art. 12 ff. DSGVO im Rahmen der Einholung der Einwilligung erfüllt werden müssen. Für die Einholung einer Einwilligung von Kindern gelten besondere Bedingungen, die in Art. 8 DSGVO niedergelegt sind.
Muster einer Einwilligungserklärung
Bei unserer Muster-Einwilligungserklärung handelt es sich lediglich um eine allgemeine Vorlage. Diese muss auf den individuellen personenbezogenen Datenverarbeitungsprozess, für die die Einwilligung benötigt wird, angepasst werden. Dies gilt insbesondere für die nach Art. 12 ff. DSGVO anzugebenden Informationen. Konsultieren Sie Ihren Datenschutzbeauftragten für eine individuelle Einwilligungserklärung, um alle datenschutzrechtlichen Vorgaben zu erfüllen.
Wann ist keine gesonderte Zustimmung nötig?
Ein Auftragsverarbeitungsvertrag ist immer nur dann abzuschließen, wenn auch tatsächlich ein Auftragsverarbeitungsverhältnis i.S.d. DSGVO vorliegt. Eine Einwilligung muss dann von der betroffenen Person eingeholt werden, wenn keine andere Rechtsgrundlage die personenbezogene Datenverarbeitung rechtfertigt. Art. 6 Abs. 1 nennt einige Rechtsgrundlagen, auf deren Basis eine personenbezogene Datenverarbeitung erfolgen kann:
- Die Verarbeitung von personenbezogenen Daten ist für die Vertragserfüllung, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs.1 lit. b) DSGVO).
- Die Verarbeitung von personenbezogenen ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c) DSGVO)
- Die Verarbeitung von personenbezogenen Daten ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d) DSGVO)
- Die Verarbeitung von personenbezogenen Daten ist für die Aufgabenwahrnehmung erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO)
- Die Verarbeitung von personenbezogenen Daten ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wess es sich bei der betroffenen Person um ein Kind handelt (Art. 6 Abs. 1 lit. f) DSGVO)
Beispielsweise ist bei einem Mietvertrag mit einem Verbraucher die richtige Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Auch in anderen vertraglichen Beziehungen, insbesondere im Bereich von Dienstleistungen, ist die korrekte Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO.
Strafen bei Verstößen gegen DSGVO und BDSG
Diese datenschutzrechtlichen Vorgaben für Auftragsverarbeitungsverträge, Einwilligungen oder alle in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen müssen von Verantwortlichen eingehalten werden, um kein mögliches Bußgeld zu riskieren: Gem Art. 83 Abs. 4 lit. a) DSGVO können Verstöße gegen die Bestimmungen zur Auftragsverarbeitung gem. Art. 28 ff. DSGVO mit Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert werden, je nachdem, welcher der Beträge höher ist.
Für Verstöße gegen die Vorgaben in Bezug auf Einwilligungserklärungen gem. Art. 6 Abs. 1 lit. a), 7 DSGVO und gegen die rechtlichen Vorgaben für Verarbeitungen gem. Art. 6 DSGVO drohen gem Art. 83 Abs. 5 lit. a) DSGVO Geldbußen in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.
Regelungen in Arbeitsverträgen und Vertraulichkeitsvereinbarungen
Datenschutzrechtliche Bestimmungen finden sich gelegentlich auch in Arbeitsverträgen. Bezüglich Arbeitnehmer sind besondere Regelungen aus dem neuen Bundesdatenschutzgesetz zu berücksichtigen. Besonders wichtig ist allerdings die Verpflichtung von Arbeitnehmern auf das Datengeheimnis. Diese Pflicht ergibt sich aus Art. 32 Abs. 1 lit. b) 2. Var. DSGVO. Empfehlenswert ist in diesem Zusammenhang, die Dokumente zur Verpflichtung auf das Datengeheimnis als Anhang zum Arbeitsvertrag bei neuen Mitarbeitern auszugeben. Bereits eingestellte Mitarbeiter sollten unmittelbar die Verpflichtungserklärung auf das Datengeheimnis erhalten und gegenzeichnen. Ein individuelles Dokument für die Verpflichtungserklärung auf das Datengeheimnis erhalten Sie von Ihrem Datenschutzbeauftragten.
Mit Dienstleistern, die zwar keine Auftragsverarbeiter sind, allerdings potentiell oder tatsächlich Zugriff auf personenbezogene Daten haben, ist der Abschluss einer Vertraulichkeitsvereinbarung (NDA, engl. für “non-disclosure agreement”) zu empfehlen. Auf diese Weise können Unternehmen vertraglich die Verschwiegenheitspflichten ihrer Dienstleister, insbesondere in Bezug auf personenbezogene Daten, festhalten. Empfehlenswert ist eine Vertraulichkeitsvereinbarung z.B. bei dem Einsatz von externen Reinigungsdiensten. Auch in diesem Zusammenhang sollten Sie mit Ihrem Datenschutzbeauftragten eine individuelle Vertraulichkeitsvereinbarung für Ihre Dienstleister anfertigen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.