Datenschutzverträge, die etwas bringen?
Seit der Geltung der DSGVO ist geradezu eine Vertragsflut losgetreten worden. Selbst die Heizungswartungs- und Reinigungsunternehmen haben in den vergangenen Wochen Auftragsverarbeitungsverträge versendet. Deren Qualität reicht von einfachen unausgefüllten GDD-Mustervorlagen bis hin zu hochkomplexen Datenschutzverträgen, die unter Umständen unerwünschte Haftungserweiterungen / Haftungsbeschränkungen oder Beweislastregelungen enthalten. Gerade wenn der Standard von Mustern verlassen wird, kommen Unternehmen und Behörden nicht umhin, diese vorgeschlagenen Verträge kritisch durchzusehen oder ihre eigenen Vertragsvorlagen zu verwenden. Der Vertragsstärkere entscheidet dann.
Mit dieser Vertragsflut geht ein erheblicher Arbeitsaufwand für den Datenschutzbeauftragten einher. Zudem ist nicht jeder Datenschutzbeauftragte in der Lage, solch vorgeschlagene Verträge rechtlich zu bewerten. Dann muss er seine Geschäfts-/Behördenleitung darüber informieren, dass die Verträge auch zivilrechtlich relevante Risiken begründen können und von anderer Stelle bewertet werden müssen. Leider hat der Gesetzgeber die elektronische Form nicht uneingeschränkt zugelassen. Setzt der Auftragsverarbeiter Unterauftragnehmer ein, ist die schriftliche Form vorgesehen (Art. 28 Abs. 2 DSGVO). So angenehm „Ein-Klick-Lösungen“ wären, so problematisch sind sie nach der DSGVO.
Immer noch zu wenig im Fokus ist der Datenschutzvertrag bei Datenübermittlung und bei Dienstleistern, die – wie Reinigungsunternehmen – häufig keine Auftragsverarbeiter sind. Die Datensicherheit und ein Verarbeitungsverbot sind hier gleichermaßen wichtig und vertraglich regelungsbedürftig.
Ihr
Dr. Philipp Kramer
(Dieser Text ist als Editorial in der Ausgabe 07-08 / 2018 des Datenschutz-Berater erschienen)