Die DSGVO lässt in vielen Fällen die Verarbeitung personenbezogener Daten zu, weil ein zivilrechtlicher Vertrag vorliegt.

1. Austauschvertrag mit betroffener Person

An erster Stelle steht ein Austauschvertrag, wie zum Beispiel ein Kauf-, Miet-, Behandlungs- oder Versicherungsvertrag, aufgrund dessen die betroffene Person eine Verarbeitung ihrer Daten dulden muss. Solche Verträge lassen jede Verarbeitung zu, die für die Erfüllung, also für die Durchführung des Vertrags erforderlich ist (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Der Verantwortliche muss sich an die Grenzen der Erforderlichkeit halten. Verarbeitet er mehr Daten, als erforderlich sind, so handelt er rechts- und ordnungswidrig. Die Erlaubnis folgt hier daraus, dass die betroffene Person es selbst in der Hand hat, ob sie auf einen Vertragspartner zugeht und die erforderlichen Daten zur Verfügung stellt.

2. Auftragsverarbeitungsvertrag

Der Gesetzgeber lässt Datenverarbeitung im Auftrag mit bloßem Vertrag deshalb zu, weil der Dienstleister mit der Datenverarbeitung exakt festgelegt wird und zudem auch die Datensicherheitsanforderungen vereinbart werden. Art. 28 DSGVO geht also davon aus, dass es kein größeres Risiko darstellt, einen Auftrag nach außen zu geben, anstatt eine interne Behörden- oder Unternehmensabteilung mit einer Leistung zu beauftragen, sofern der Vertrag mit bestimmten Mindestinhalten zumindest in Textform dokumentiert ist.

3. Übermittlungsvertrag

Auch wenn ein Unternehmen personenbezogene Daten übermittelt, weil eine andere Stelle sie für privatwirtschaftliche Zwecke nutzen will, bedarf es einer vertraglichen Vereinbarung. Sie muss vor allem bestimmen, zu welchen Zwecken der Empfänger die Daten nutzen darf. Die Übermittlung ohne vereinbarten, festgelegten Zweck ist dagegen unzulässig.

4. Standardvertrags-/Standarddatenschutzklauseln

Die Einschaltung von Dienstleistern in Ländern außerhalb des Europäischen Wirtschaftsraums ist datenschutzrechtlich besonders aufwendig. Denn Art. 44 DSGVO verlangt Maßnahmen zu ergreifen, damit im Drittland das mit der DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Der Abschluss von Datenschutzverträgen soll das ermöglichen. Dabei sind solche Verträge genehmigungsfrei, die bestimmte Standardinhalte zum Gegenstand haben (Standarddatenschutz-/Standardvertragsklauseln). Durch das Einhalten eines bestimmten Wortlauts soll deren Rechtsposition auch beim Drittlandstransfer gestärkt werden.

(Dieses "Stichwort des Monats" ist in der Ausgabe 07-08/2018 des Datenschutz-Berater erschienen)