Update Datenschutz Nr. 31
DSGVO: Anpassungsbedarf bestehender Vereinbarungen
Die DSGVO findet Anwendung auch auf laufende Verarbeitungen personenbezogener Daten. Damit müssen auch bestehende Vereinbarungen, die die Datenverarbeitung betreffen, angepasst werden, wenn sie den Anforderungen der DSGVO nicht entsprechen.
Mehrheitlich wird dies Auftragsdatenverarbeitungsvereinbarungen betreffen. Doch auch andere Vereinbarungen, beispielsweise über Funktionsübertragungen, müssen unter die Lupe genommen und gegebenenfalls angepasst werden.
Auftragsverarbeitungsvereinbarungen
Bestehende Auftragsdatenverarbeitungsvereinbarungen orientieren sich häufig streng an § 11 BDSG, der bislang die Inhalte einer Auftragsdatenverarbeitungsvereinbarung vorgab. Künftig ist Rechtsgrundlage für Auftragsverarbeitungsvereinbarungen Artikel 28 DSGVO. Auch dieser fordert den Abschluss eines Vertrages oder den Einsatz eines anderen verbindlichen Rechtsinstruments mit bestimmten Inhalten. Wenngleich viele der bisherigen Verträge die Mindestinhalte enthalten, die Art. 28 DSGVO vorgibt, ist eine Anpassung bestehender Verträge dennoch und nicht nur zur Korrektur der Bezugnahme auf Vorschriften des BDSG, die es ab dem 25. Mai 2018 nicht mehr geben wird, ratsam.
Mitwirkungs- und Informationspflichten
Die meisten Muster nach bisherigem Recht enthalten keine Regelungen zu Mitwirkungs- und Informationspflichten des Auftragsverarbeiters im Falle behördlicher Maßnahmen, insbesondere für den Fall eines Ordnungswidrigkeitenverfahrens. Solche Pflichten vorzusehen, empfiehlt sich nicht nur aus Sicht des Auftraggebers einer Auftragsverarbeitung, sondern auch aus Sicht des Auftragnehmers. Den Auftragnehmer treffen künftig erweiterte Pflichten, deren Nichteinhaltung ihn selbst einem Ordnungswidrigkeitenverfahren aussetzen kann. Auch in Bezug auf die für beide Seiten notwendige Dokumentation der jeweils einzuhaltenden Datenschutzmaßnahmen empfiehlt es sich, vertragliche Vereinbarungen zu treffen. Nicht nur den Auftraggeber treffen künftig weitreichende Dokumentationspflichten. Mit wenigen Ausnahmen muss künftig auch jeder Auftragsverarbeiter sämtliche Auftragsverhältnisse dokumentieren. Wechselseitige Unterstützungspflichten sind daher sinnvoll, teils unerlässlich, um den Anforderungen gerecht werden zu können. Schließlich kann ein Auftragsverarbeiter häufig bestimmte Verpflichtungen der DSGVO besser und effizienter erfüllen als der Auftraggeber. Dazu gehören zum Beispiel die Verpflichtung zum Löschen von Daten und die Gewährleistung des Rechts auf Vergessenwerden, die Berichtigung von Daten, die Erfüllung des Rechts auf Datenportabilität und von Auskunftsrechten des Betroffenen. Es kann sich daher empfehlen, eine Regelung dazu zu treffen, dass diese Pflichten, die dem Auftraggeber als Verantwortlichem obliegen, nach Weisung des Auftraggebers vom Auftragnehmer erfüllt werden müssen.
Technische und organisatorische Maßnahmen
Die Datenschutzgrundverordnung verpflichtet dazu, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür zu erbringen, dass die Verarbeitung der DSGVO erfolgt. Auch dies ist meist nicht Inhalt bestehender Datenverarbeitungsvereinbarungen und sollte daher ergänzt bzw. angepasst werden.
Unterbeauftragung
Einen strengeren Maßstab legt die DSGVO an die Vereinbarung einer Unterbeauftragung an. Diese bedarf künftig entweder einer schriftlichen Genehmigung im Einzelfall oder, wenn der Auftraggeber eine allgemeine Genehmigung erteilt hat, jedenfalls einer Information des Auftraggebers samt Möglichkeit des Einspruchs. Auch dies ist in den bisherigen Mustern nicht angelegt.
Haftungsregeln im Innenverhältnis
Ein wichtiger Punkt ist darüber hinaus die künftige gemeinsame Haftung von Auftraggeber und Auftragnehmer gegenüber Betroffenen. Die Auftragsverarbeitungsvereinbarung sollte dazu genutzt werden, die Haftung und den Ausgleich im Innenverhältnis zu konkretisieren. Regelungen dazu finden sich in geltenden Auftragsdatenverarbeitungsvereinbarungen nicht.
Gemeinsame Verantwortlichkeit
Legen zwei oder mehrere Unternehmen gemeinsam die Zwecke und Mittel zur Verarbeitung von personenbezogenen Daten fest, ist eine sogenannte gemeinsame Verantwortlichkeit gegeben (Art. 26 Abs. 1 Satz 1 DSGO). Ist dies der Fall, so sind die Parteien gemäß Art. 26 Abs. 1 Satz 2 DSGVO zur Festlegung der aus ihrer Zusammenarbeit resultierenden datenschutzrechtlichen Pflichten in einer Vereinbarung verpflichtet. Fälle, die bislang als Auftragsdatenverarbeitung gesehen wurden oder aber als Funktionsübertragung ausgestaltet waren, können sich durchaus bei näherer Prüfung als Fälle einer gemeinsamen Verantwortlichkeit erweisen. Ist dies der Fall, so müssen bestehende Vereinbarungen inhaltlich an die Anforderungen des Art. 26 angepasst werden. Bestehen noch keine Vereinbarungen zwischen den Beteiligten, müssen sie neu geschlossen werden.
Wesentliche Inhalte, die eine Vereinbarung zwischen gemeinsam Verantwortlichen aufweisen muss, sind, welcher der Beteiligten welche Verpflichtungen gegenüber den betroffenen Personen zu erfüllen hat. Festzulegen ist demnach, wer die Ansprüche der betroffenen Personen z.B. auf Auskunft zu erfüllen hat und wer sicherstellt, dass die Informationspflichten gegenüber den betroffenen Personen gemäß Art. 13 und 14 DSGVO erfüllt werden.
Fazit
Dadurch, dass die Datenschutzgrundverordnung teils neue Anforderungen, teils erweiterte Anforderungen an Auftragsverarbeitungen und gemeinsame Verantwortlichkeit stellt, ist es empfehlenswert, bestehende Vereinbarungen über die Verarbeitung personenbezogener Daten, sei es in einem Auftragsverhältnis, sei in einem Kontext, der eine gemeinsame Verantwortlichkeit nahelegt, zu überprüfen und an die ab dem 25. Mai 2018 geltende Rechtslage anzupassen.