
Datenschutz verstehen – Datenschutz bei Verträgen
Datenschutz verstehen – Datenschutz bei Verträgen
Datenschutz und Verträge – Zwei Begriffe die oft gemeinsam in Erscheinung treten. Auch von sog. Datenschutzvereinbarungen ist oft die Rede. In der DSGVO existieren gewisse Vorgaben, die speziell vertraglich umgesetzt werden müssen. Zu nennen sind in diesem Zusammenhang Regelungen im Rahmen von Auftragsverarbeitungsverträgen. Auch wenn Einwilligungserklärungen keine Verträge im juristischen Sinne sind, müssen diese gewisse datenschutzrechtliche Mindestvorgaben aus der DSGVO und des BDSG-neu, ähnlich wie bei einer Datenschutzerklärung, beinhalten. In diesem Blogbeitrag erfahren Sie mehr zum Thema Auftragsverarbeitungsverträge und Einwilligungserklärungen.
Die DSGVO ist seit dem 25.05.2018 anwendbar. Bezüglich der Verarbeitung von personenbezogenen Daten trifft die DSGVO und das neue Bundesdatenschutzgesetz (BDSG-neu) Regelungen, die bereits im alten Bundesdatenschutz (BDSG-alt) niedergeschrieben waren. Darüber hinaus sind allerdings zahlreiche neue Regelungen hinzu gekommen, z.B. im Bereich der Transparenz- und Informationspflichten, der Betroffenenrechte, des Arbeitnehmerdatenschutzes, der Stellung des Datenschutzbeauftragten, der Auftragsverarbeitung und der Höhe von Bußgeldern bei Verstößen gegen die datenschutzrechtlichen Bestimmungen.
Auf den Vertragsschluss mit Kunden wirken sich die neuen Bestimmungen dann unmittelbar aus, wenn ein Auftragsverarbeitungsverhältnis i.S.d. Art. 28 DSGVO vorliegt. Wenn ein Auftragsverarbeitungsverhältnis, insbesondere nach dem Austausch mit dem Datenschutzbeauftragten, bejaht werden kann, muss zusätzlich zu den getroffenen vertraglichen Regelungen für das Dienstverhältnis ein eigener Auftragsverarbeitungsvertrag nach den Vorgaben des Art. 28 DSGVO, insbesondere nach Art. 28 Abs. 3 DSGVO, geschlossen werden. Neben der Regelung eines Auftragsverarbeitungsvertrages mit den Mindestangaben nach Art. 28 DSGVO sind weitere datenschutzrechtliche Pflichten im Kundenverhältnis zu beachten, wozu u.a. folgende gehören: Existiert für den Fall der Verarbeitung von personenbezogene Daten eine entsprechende Rechtsgrundlage? Wurden alle Informationspflichten gem. Art. 12 ff. DSGVO transparent erfüllt? Wurde der Verarbeitungsprozess hinsichtlich personenbezogener Daten von Kunden in das eigene Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen? Werden die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO ausreichend eingehalten? Muss die eigene Datenschutzerklärung in Bezug auf Verarbeitunstätigkeiten von Kundendaten geändert bzw. ergänzt werden?
Bei diesen und weiteren datenschutzrechtlichen Fragen sollten Unternehmen sich mit dem eigenen Datenschutzbeauftragten austauschen und Gebrauch von der Beratungsfunktion des Datenschutzbeauftragten machen.
Ein Auftragsverarbeitungsvertrag oder Auftragsverarbeitungs-Vertrag, kurz AVV, beinhaltet neben vertraglichen Regelungen im Anhang in der Regel auch eine Auflistung der jeweiligen einschlägigen technisch-organisatorischen Maßnahmen des Auftragsverarbeiters. Der Begriff der Auftragsverarbeitung war früher im BDSG-alt noch unter dem Begriff Auftragsdatenverarbeitung, kurz ADV oder ADV-Vertrag, geregelt. Auch heute noch ist der Begriff Auftragsdatenverarbeitung und insbesondere die Abkürzung ADV oder ADV-Vertrag sehr geläufig und wird sogar größtenteils häufiger verwendet als die aktuelle und richtige Terminologie.
Mit den vorgegebenen notwendigen Bestandteiles eines Auftragsverarbeitungsvertrages möchte der europäische Gesetzgeber sicherstellen, dass für den Fall der Übertragung von personenbezogenen Daten auf Basis eines Auftragsverarbeitungsverhältnisses die datenschutzrechtlichen Vorgaben von beiden Parteien eingehalten werden. Insbesondere der Auftragsverarbeiter muss die in Art. 28 DSGVO genannten Maßnahmen treffen und einhalten, denn die in der DSGVO neu geregelte gemeinsame Haftung kann schwerwiegende Folgen für den Verantwortlichen (Auftraggeber) und den Auftragsverarbeiter haben vgl. Art. 82 ff. DSGVO.
Ein Auftragsverarbeitungsvertrag muss insbesondere folgende Punkte regeln:
Folgende Punkte müssen ebenfalls in einem Auftragsverarbeitungsvertrag geregelt sein:
Weitere Vorgaben für den Inhalt eines Auftragsverarbeitungsvertrages regeln Art. 28 und Art. 29 DSGVO. Auch diese Voraussetzungen müssen berücksichtigt werden. Bei der vertraglichen Konzeption von Auftragsverarbeitungsverträgen unterstützt Sie Ihr Datenschutzbeauftragter.
In unserem Muster-Auftragsverarbeitungsvertrag sind die grundlegenden Punkte, die in ein AV-Vertrag beinhalten muss, geregelt. Eine Individualisierung muss aber dennoch für jedes einzelne Auftragsverarbeitungsverhältnis erfolgen: Insbesondere Punkte wie Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen, sowie Pflichte und Rechte des Verantwortlichen sind individuell zu regeln. Auch weitere essentielle Punkte des AV-Vertrages bedürfen einer individuellen Anpassung. Das hier zur Verfügung gestalte Muster ist lediglich eine Vorlage, die noch individuell auf das jeweilige Auftragsverhältnis angepasst werden muss. Ihr Datenschutzbeauftragter berät und unterstützt Sie bei der individuellen Erstellung von datenschutzkonformen Auftragsverarbeitungsverträgen.
Eine datenschutzrechtliche Einwilligungserklärung nach der DSGVO ist kein Vertrag im juristischen Sinne. Vielmehr handelt es sich bei der Einwilligungserklärung um eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, vgl. Art. 6 Abs. 1 lit. a) DSGVO. Beliebte Anwendungsfälle einer Einwilligung sind z.B. die Anmeldung für einen E-Mail-Newsletter oder eine Einwilligung für die Anfertigung und Veröffentlichung von Mitarbeiterfotos für die Unternehmenswebsite. Darüber hinaus gibt es noch viele weitere Bereiche, in denen eine personenbezogene Datenverarbeitung nur auf der Basis einer Einwilligung durch die betroffene Persone erfolgen kann. Die Einwilligungserklärung wird von der Stelle zur Verfügung, die für die stattfindende Datenverarbeitung erfolgt ist und wird von dem Inhaber der jeweiligen betroffenen personenbezogenen Daten unterzeichnet.
Die Einwilligungserklärung ist in der europäischen Datenschutz-Grundverordnung in den Art. 4 Nr. 11, 6 Abs. 1 lit. a), 7 und 8 DSGVO geregelt. Eine Einwilligungserklärung muss stets freiwillig von der betroffenen Person erklärt werden. Darüber hinaus muss die Willensbekundung durch die betroffene Person informiert und unmissverständlich erfolgen. Ferner muss die Einwilligung durch eine Form der Erklärung oder eine sonstige eindeutige bestätigende Handlung durch die betroffene Person abgegeben werden. Wichtig ist in diesem Zusammenhang auch, dass der Verantwortliche nachweisen können muss, dass die Verarbeitung auf einer Einwilligung beruht, Art. 7 Abs. 1 DSGVO. Bei dem Beispiel Newsletter via E-Mail-Versand muss die Einwilligungserklärung auf einem Double-Opt-In-Verfahren basieren.
Das Ersuchen um die Einwilligung muss in verständlicher und leicht zugänglicher Form stattfinden, und in einer klaren und einfachen Sprache erfolgen, wenn die Einwilligung schriftlich erfolgen soll und diese mehrere Sachverhalte betrifft, damit eine Abgrenzbarkeit möglich ist, vgl. Art. 7 Abs. 2 DSGVO. Die betroffene Person ist ferner über das Widerrufsrecht mit der jeweiligen Wirkung zu unterrichten und der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Zu berücksichtigen ist ferner das Kopplungsverbot gem Art. 7 Abs. 4 DSGVO.
Die Einwilligung muss auf eine informierte Weise eingeholt werden: Das bedeutet, dass sämtliche Informationspflichten gem. Art. 12 ff. DSGVO im Rahmen der Einholung der Einwilligung erfüllt werden müssen. Für die Einholung einer Einwilligung von Kindern gelten besondere Bedingungen, die in Art. 8 DSGVO niedergelegt sind.
Bei unserer Muster-Einwilligungserklärung handelt es sich lediglich um eine allgemeine Vorlage. Diese muss auf den individuellen personenbezogenen Datenverarbeitungsprozess, für die die Einwilligung benötigt wird, angepasst werden. Dies gilt insbesondere für die nach Art. 12 ff. DSGVO anzugebenden Informationen. Konsultieren Sie Ihren Datenschutzbeauftragten für eine individuelle Einwilligungserklärung, um alle datenschutzrechtlichen Vorgaben zu erfüllen.
Ein Auftragsverarbeitungsvertrag ist immer nur dann abzuschließen, wenn auch tatsächlich ein Auftragsverarbeitungsverhältnis i.S.d. DSGVO vorliegt. Eine Einwilligung muss dann von der betroffenen Person eingeholt werden, wenn keine andere Rechtsgrundlage die personenbezogene Datenverarbeitung rechtfertigt. Art. 6 Abs. 1 nennt einige Rechtsgrundlagen, auf deren Basis eine personenbezogene Datenverarbeitung erfolgen kann:
Beispielsweise ist bei einem Mietvertrag mit einem Verbraucher die richtige Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Auch in anderen vertraglichen Beziehungen, insbesondere im Bereich von Dienstleistungen, ist die korrekte Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO.
Diese datenschutzrechtlichen Vorgaben für Auftragsverarbeitungsverträge, Einwilligungen oder alle in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen müssen von Verantwortlichen eingehalten werden, um kein mögliches Bußgeld zu riskieren: Gem Art. 83 Abs. 4 lit. a) DSGVO können Verstöße gegen die Bestimmungen zur Auftragsverarbeitung gem. Art. 28 ff. DSGVO mit Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert werden, je nachdem, welcher der Beträge höher ist.
Für Verstöße gegen die Vorgaben in Bezug auf Einwilligungserklärungen gem. Art. 6 Abs. 1 lit. a), 7 DSGVO und gegen die rechtlichen Vorgaben für Verarbeitungen gem. Art. 6 DSGVO drohen gem Art. 83 Abs. 5 lit. a) DSGVO Geldbußen in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.
Datenschutzrechtliche Bestimmungen finden sich gelegentlich auch in Arbeitsverträgen. Bezüglich Arbeitnehmer sind besondere Regelungen aus dem neuen Bundesdatenschutzgesetz zu berücksichtigen. Besonders wichtig ist allerdings die Verpflichtung von Arbeitnehmern auf das Datengeheimnis. Diese Pflicht ergibt sich aus Art. 32 Abs. 1 lit. b) 2. Var. DSGVO. Empfehlenswert ist in diesem Zusammenhang, die Dokumente zur Verpflichtung auf das Datengeheimnis als Anhang zum Arbeitsvertrag bei neuen Mitarbeitern auszugeben. Bereits eingestellte Mitarbeiter sollten unmittelbar die Verpflichtungserklärung auf das Datengeheimnis erhalten und gegenzeichnen. Ein individuelles Dokument für die Verpflichtungserklärung auf das Datengeheimnis erhalten Sie von Ihrem Datenschutzbeauftragten.
Mit Dienstleistern, die zwar keine Auftragsverarbeiter sind, allerdings potentiell oder tatsächlich Zugriff auf personenbezogene Daten haben, ist der Abschluss einer Vertraulichkeitsvereinbarung (NDA, engl. für “non-disclosure agreement”) zu empfehlen. Auf diese Weise können Unternehmen vertraglich die Verschwiegenheitspflichten ihrer Dienstleister, insbesondere in Bezug auf personenbezogene Daten, festhalten. Empfehlenswert ist eine Vertraulichkeitsvereinbarung z.B. bei dem Einsatz von externen Reinigungsdiensten. Auch in diesem Zusammenhang sollten Sie mit Ihrem Datenschutzbeauftragten eine individuelle Vertraulichkeitsvereinbarung für Ihre Dienstleister anfertigen.
Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.