Zurück zur Übersicht
06.11.2017Fachbeitrag

Update Datenschutz Nr. 31

DSGVO: Anpassungsbedarf bestehender Vereinbarungen

Die DSGVO findet Anwendung auch auf laufende Verarbeitungen personenbezogener Daten. Damit müssen auch bestehende Vereinbarungen, die die Datenverarbeitung betreffen, angepasst werden, wenn sie den Anforderungen der DSGVO nicht entsprechen.

Mehrheitlich wird dies Auftragsdatenverarbeitungsvereinbarungen betreffen. Doch auch andere Vereinbarungen, beispielsweise über Funktionsübertragungen, müssen unter die Lupe genommen und gegebenenfalls angepasst werden.

Auftragsverarbeitungsvereinbarungen

Bestehende Auftragsdatenverarbeitungsvereinbarungen orientieren sich häufig streng an § 11 BDSG, der bislang die Inhalte einer Auftragsdatenverarbeitungsvereinbarung vorgab. Künftig ist Rechtsgrundlage für Auftragsverarbeitungsvereinbarungen Artikel 28 DSGVO. Auch dieser fordert den Abschluss eines Vertrages oder den Einsatz eines anderen verbindlichen Rechtsinstruments mit bestimmten Inhalten. Wenngleich viele der bisherigen Verträge die Mindestinhalte enthalten, die Art. 28 DSGVO vorgibt, ist eine Anpassung bestehender Verträge dennoch und nicht nur zur Korrektur der Bezugnahme auf Vorschriften des BDSG, die es ab dem 25. Mai 2018 nicht mehr geben wird, ratsam.

Mitwirkungs- und Informationspflichten

Die meisten Muster nach bisherigem Recht enthalten keine Regelungen zu Mitwirkungs- und Informationspflichten des Auftragsverarbeiters im Falle behördlicher Maßnahmen, insbesondere für den Fall eines Ordnungswidrigkeitenverfahrens. Solche Pflichten vorzusehen, empfiehlt sich nicht nur aus Sicht des Auftraggebers einer Auftragsverarbeitung, sondern auch aus Sicht des Auftragnehmers. Den Auftragnehmer treffen künftig erweiterte Pflichten, deren Nichteinhaltung ihn selbst einem Ordnungswidrigkeitenverfahren aussetzen kann. Auch in Bezug auf die für beide Seiten notwendige Dokumentation der jeweils einzuhaltenden Datenschutzmaßnahmen empfiehlt es sich, vertragliche Vereinbarungen zu treffen. Nicht nur den Auftraggeber treffen künftig weitreichende Dokumentationspflichten. Mit wenigen Ausnahmen muss künftig auch jeder Auftragsverarbeiter sämtliche Auftragsverhältnisse dokumentieren. Wechselseitige Unterstützungspflichten sind daher sinnvoll, teils unerlässlich, um den Anforderungen gerecht werden zu können. Schließlich kann ein Auftragsverarbeiter häufig bestimmte Verpflichtungen der DSGVO besser und effizienter erfüllen als der Auftraggeber. Dazu gehören zum Beispiel die Verpflichtung zum Löschen von Daten und die Gewährleistung des Rechts auf Vergessenwerden, die Berichtigung von Daten, die Erfüllung des Rechts auf Datenportabilität und von Auskunftsrechten des Betroffenen. Es kann sich daher empfehlen, eine Regelung dazu zu treffen, dass diese Pflichten, die dem Auftraggeber als Verantwortlichem obliegen, nach Weisung des Auftraggebers vom Auftragnehmer erfüllt werden müssen.

Technische und organisatorische Maßnahmen

Die Datenschutzgrundverordnung verpflichtet dazu, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür zu erbringen, dass die Verarbeitung der DSGVO erfolgt. Auch dies ist meist nicht Inhalt bestehender Datenverarbeitungsvereinbarungen und sollte daher ergänzt bzw. angepasst werden.

Unterbeauftragung

Einen strengeren Maßstab legt die DSGVO an die Vereinbarung einer Unterbeauftragung an. Diese bedarf künftig entweder einer schriftlichen Genehmigung im Einzelfall oder, wenn der Auftraggeber eine allgemeine Genehmigung erteilt hat, jedenfalls einer Information des Auftraggebers samt Möglichkeit des Einspruchs. Auch dies ist in den bisherigen Mustern nicht angelegt.

Haftungsregeln im Innenverhältnis

Ein wichtiger Punkt ist darüber hinaus die künftige gemeinsame Haftung von Auftraggeber und Auftragnehmer gegenüber Betroffenen. Die Auftragsverarbeitungsvereinbarung sollte dazu genutzt werden, die Haftung und den Ausgleich im Innenverhältnis zu konkretisieren. Regelungen dazu finden sich in geltenden Auftragsdatenverarbeitungsvereinbarungen nicht.

Gemeinsame Verantwortlichkeit

Legen zwei oder mehrere Unternehmen gemeinsam die Zwecke und Mittel zur Verarbeitung von personenbezogenen Daten fest, ist eine sogenannte gemeinsame Verantwortlichkeit gegeben (Art. 26 Abs. 1 Satz 1 DSGO). Ist dies der Fall, so sind die Parteien gemäß Art. 26 Abs. 1 Satz 2 DSGVO zur Festlegung der aus ihrer Zusammenarbeit resultierenden datenschutzrechtlichen Pflichten in einer Vereinbarung verpflichtet. Fälle, die bislang als Auftragsdatenverarbeitung gesehen wurden oder aber als Funktionsübertragung ausgestaltet waren, können sich durchaus bei näherer Prüfung als Fälle einer gemeinsamen Verantwortlichkeit erweisen. Ist dies der Fall, so müssen bestehende Vereinbarungen inhaltlich an die Anforderungen des Art. 26 angepasst werden. Bestehen noch keine Vereinbarungen zwischen den Beteiligten, müssen sie neu geschlossen werden.

Wesentliche Inhalte, die eine Vereinbarung zwischen gemeinsam Verantwortlichen aufweisen muss, sind, welcher der Beteiligten welche Verpflichtungen gegenüber den betroffenen Personen zu erfüllen hat. Festzulegen ist demnach, wer die Ansprüche der betroffenen Personen z.B. auf Auskunft zu erfüllen hat und wer sicherstellt, dass die Informationspflichten gegenüber den betroffenen Personen gemäß Art. 13 und 14 DSGVO erfüllt werden.

Fazit

Dadurch, dass die Datenschutzgrundverordnung teils neue Anforderungen, teils erweiterte Anforderungen an Auftragsverarbeitungen und gemeinsame Verantwortlichkeit stellt, ist es empfehlenswert, bestehende Vereinbarungen über die Verarbeitung personenbezogener Daten, sei es in einem Auftragsverhältnis, sei in einem Kontext, der eine gemeinsame Verantwortlichkeit nahelegt, zu überprüfen und an die ab dem 25. Mai 2018 geltende Rechtslage anzupassen.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Astrid Luedtke
Düsseldorf

Ansprechpartner

Astrid Luedtke
Düsseldorf

Weitere Artikel

23.04.2024
Aktuelles zum Spannungsfeld zwischen Design- und Urheberschutz
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung
21.02.2024
Offenlegung der Identität des Bewerters bei Kununu
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
07.02.2024
Aktuelles zu Auskunftsansprüchen gegen Plattformen nach DSA & TTDSG
01.02.2024
Endlich mehr Kohle! – Neue Rechtsprechung zum Schadensersatz bei Patentverletzungen
30.01.2024
Arbeitnehmerüberwachung: Französische Datenschutzbehörde verhängt 32 Millionen Euro Strafe gegen großen Online-Versandhändler

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.