Home
Intern
Mit Inkrafttreten der europäischen Datenschutz-Grundverordnung (der Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates – nachfolgend nur „DSGVO“) stellte sich die Frage nach der Notwendigkeit eines Abschlusses von Nachträgen zu Klauseln über eine Verarbeitung personenbezogener Daten, bzw. nach der Pflicht, mit Vertragspartnern einen entsprechenden Vertrag über eine Verarbeitung personenbezogener Daten abzuschließen. In diesem Artikel konzentrieren wir uns zum einen auf eine Situation, in der kein Vertrag (und keine Klausel) über eine Datenverarbeitung erforderlich ist, und zum anderen auf Fälle, in denen eine schriftliche Regelung demgegenüber wünschenswert ist. Auch befassen wir uns mit dem Mindestinhalt und der Form eines Vertrages, damit dieser mit der DSGVO in Einklang steht.
Zu einem Zeitpunkt, zu dem personenbezogene Daten einer natürlichen Person in die Verfügungsgewalt eines anderen Rechtsträgers gelangen, wird dieser ein sog. Verantwortlicher im Sinne der DSGVO und eine jedwede Verfügung über die personenbezogenen Daten stellt eine Verarbeitung im Sinne der DSGVO dar. Eine Ausnahme bildet neben einer Verarbeitung für persönliche Zwecke gemäß Art. 2 DSGVO auch eine zufällige einmalige Einsichtnahme. Andere Operationen als zufällige Handlungen gelten als eine Verarbeitung im Sinne der DSGVO und werden beispielhaft in einer Definition des Art. 4 Punkt 2 DSGVO angeführt. Im Fall einer Unklarheit vertreten wir die Auffassung, dass die Auslegung des Begriffes einer Verarbeitung personenbezogener Daten extensiv sein sollte – zum einen mit Blick auf mögliche Risiken für sog. betroffene Personen im Sinne der DSGVO, und ferner wegen des eigentlichen Zwecks der DSGVO, die betroffene Personen eher schützen denn ausschließen soll.
Sog. Verantwortlicher ist ein jedweder Rechtsträger, der gemäß der Definition des Art. 4 Punkt 7 DSGVO über Zweck und Mittel der Verarbeitung entscheidet. Der Zweck einer Verarbeitung folgt vor allem aus der Notwendigkeit einer Erfassung personenbezogener Daten zur Erreichung eines bestimmten Ziels (z.B. für die Erfüllung eines Kaufvertrages, für die Erfüllung gesetzlicher Pflichten gegenüber Behörden, für den Schutz von Vermögensgütern etc.).
Die DSGVO führt den expliziten Grundsatz einer Minimierung ein. Dies bedeutet nach unserer Auffassung, dass ein Verantwortlicher von einer betroffenen Person bestimmte personenbezogene Daten überhaupt nicht anfordern und nachfolgend verarbeiten sollte, wenn er diese nicht benötigt. Sind personenbezogene Daten zur Erreichung eines bestimmten Ziels (die Erfüllung des Zwecks der Verarbeitung) nicht erforderlich, hat der Verantwortliche diese zu löschen. Durch eine nicht erfolgte Verarbeitung und Löschung personenbezogener Daten wird das Risiko eines möglichen Missbrauchs oder eines Datenlecks am wirkungsvollsten gemindert. Zugleich reduziert sich auch die Gefahr einer hypothetischen Bedrohung von Rechten und Freiheiten betroffener Person und nachfolgend eines Verfahrens vor der zuständigen Datenschutzbehörde.
Auftragsverarbeiter wird ein Rechtsträger, wenn er durch einen Verantwortlichen mit einer weiteren Verarbeitung personenbezogener Daten betraut wird und die Verarbeitung im Interesse des Verantwortlichen erfolgt. Voraussetzung für die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter sind also eine Beauftragung und ein Interesse. Der Auftragsverarbeiter hat dabei stets den Zweck und den hiermit verbundenen Rechtsgrund der Verarbeitung zu beachten, der durch den Verantwortlichen zu Beginn im Rahmen der Beauftragung festgelegt wurde.
Der häufigste Fall einer Beziehung zwischen Verantwortlichem und Auftragsverarbeiter ist in der Praxis etwa eine Lohnbuchhaltung und Buchhaltung, die ein Verantwortlicher auf Grundlage eines entsprechenden Vertrages an eine externe (spezialisierte) Gesellschaft vergibt. Verarbeitete personenbezogene Daten sind dann sämtliche Angaben zur Identifizierung einer natürlichen Person für den Zweck der Umsetzung der Lohnbuchhaltung oder Buchhaltung; der Rechtsgrund bestünde in der Erfüllung rechtlicher Pflichten im Sinne des Art. 6 Abs. 1 lit. c) DSGVO, d.h. von Pflichten laut arbeitsrechtlichen, steuerlichen und anderen Rechtsvorschriften. Eine Einwilligung einer betroffenen Person (eines Arbeitnehmers) zur Weitergabe ihrer personenbezogenen Daten an den Auftragsverarbeiter ist im Rahmen dieser Verarbeitung nicht erforderlich, jedoch muss der Verantwortliche die betroffene Person über die Verarbeitung bei einem Dritten – d.h. beim Auftragsverarbeiter informieren.
Im Alltag kommt es oft zu Situationen, bei denen personenbezogene Daten übertragen und gezielt verarbeitet werden, die scheinbar einer rechtlichen Beziehung zwischen einem Verantwortlichem und einem Auftragsverarbeiter entsprechen. Diese Tatsache führt zu Unklarheiten, ob in diesem Fall ein Vertrag (oder ein Nachtrag) über eine Verarbeitung abzuschließen ist.
Wenn ursprünglich durch einen Verantwortlichen erlangte personenbezogene Date an einen Dritten weitergereicht werden, entsteht durch die Übergabe nicht automatisch eine Beziehung zwischen Verantwortlichem und Auftragsverarbeiter. Beispiel hierfür wäre die Übergabe von Angaben über einen Adressaten (eine betroffene Person im Sinne der DSGVO) an einen Postzusteller, damit dieser die Sendung zustellt und so komplett die Verpflichtung zu einer Lieferung von Ware erfüllt, wie diese für Kaufverträge typisch ist. Ein Postzusteller ist kein Auftragsverarbeiter, sondern in Einklang mit dem Gesetz Nr. 29/2000 Slg. der Tschechischen Republik über Postdienstleistungen selbst eigenständiger Verantwortlicher. Eine analoge Situation gilt für Versicherungsgesellschaften im Verhältnis zu Versicherungsverträgen (§ 6 des Gesetzes Nr. 277/2009 Slg. der Tschechischen Republik über das Versicherungswesen) z.B. bei der Erledigung eines Versicherungsfalls.
Die Beziehung zwischen einem Verantwortlichen und einem Auftragsverarbeiter personenbezogener Daten kann zum einen durch einen gesonderten Vertrag oder aber durch eine Klausel über eine entsprechende Verarbeitung personenbezogener Daten direkt im eigentlichen Hauptvertrag, z.B. einem Vertrag über die Führung einer Lohnbuchhaltung und Buchhaltung geregelt werden.
Sofern es sich nicht um Fälle handelt, bei denen durch die Übergabe personenbezogener Daten kraft Gesetzes eine neue Beziehung als Verantwortlicher entsteht (siehe eine Verarbeitung von Angaben über einen Adressaten oder einen Versicherten), sind die Rechte und Pflichten durch einen entsprechenden Vertrag (eine Klausel) zu regeln. Die Mindestanforderungen für einen solchen Vertrag folgen aus Art. 28 Abs. 3 DSGVO. Anzuführen sind: Art und Zweck der Verarbeitung, die Kategorien betroffener Personen, die Erteilung einer Beauftragung zur Verarbeitung, die Dauer der Verarbeitung (typischerweise über die Laufzeit des Hauptvertrages), die Verpflichtungen des Auftragsverarbeiters zur Wahrung des Datenschutzes (typischerweise eine Verschwiegenheitspflicht oder die Pflicht zur Wahrung der Vertraulichkeit, gegebenenfalls weitere Maßnahmen für eine technische und organisatorische Absicherung). Im Zusammenhang mit der Regelung der gegenständlichen Beziehung sollte der Vertrag auch um eine Klausel erweitert werden, die einen Anspruch Dritter für den Fall einer Haftung bei der Verletzung von aus der DSGVO folgenden Pflichten regelt. Die Schriftform dient hier dem Nachweis der Pflicht des Auftragsverarbeiters und der Festlegung des konkreten Haftungsumfanges.
Für die gesetzmäßige Verarbeitung personenbezogener Daten haftet insbesondere der Verantwortliche. Jedoch muss auch der Auftragsverarbeiter nachweisen können, dass er durch den Verantwortlichen mit der Verarbeitung in der oben angeführten Form betraut wurde, anderenfalls würde er automatisch Verantwortlicher werden. Gleiches gilt, falls ein beauftragter Auftragsverarbeiter den Rahmen der erteilten Beauftragung überschreitet und er eine Verarbeitung über den festgelegten Zweck hinaus vornimmt.
Jeder Verantwortliche im Sinne der DSGVO muss sich seiner Verantwortung im Zusammenhang mit der Verarbeitung personenbezogener Daten bewusst sein und adäquate Maßnahmen zu deren Schutz treffen. Eine überzogene Regelung durch entsprechende Klauseln ist nicht immer ratsam und kann das rechtliche Verhältnis zwischen den Parteien belasten. Als beste Maßnahme erachten wir, dass sich der sog. Verantwortliche den Datenschutznormen unterwirft, er den Zweck der Regelung der DSGVO nicht missachtet – aber auch nicht übertreibt, und er die positiven Folgen der Regelung für die Informationsgesellschaft im Auge behält.
Mgr. Jan Pavlík
Senior Associate
Anfrage senden
