Datenschutz bei Verträgen

Datenschutz und Verträge – Zwei Begriffe die oft gemeinsam in Erscheinung treten. Auch von sog. Datenschutzvereinbarungen ist oft die Rede. In der DSGVO existieren gewisse Vorgaben, die speziell vertraglich umgesetzt werden müssen. Zu nennen sind in diesem Zusammenhang Regelungen im Rahmen von Auftragsverarbeitungsverträgen. Auch wenn Einwilligungserklärungen keine Verträge im juristischen Sinne sind, müssen diese gewisse datenschutzrechtliche Mindestvorgaben aus der DSGVO und des BDSG-neu, ähnlich wie bei einer Datenschutzerklärung, beinhalten. In diesem Blogbeitrag erfahren Sie mehr zum Thema Auftragsverarbeitungsverträge und Einwilligungserklärungen.

Datenschutz bei Verträgen – Was ist zu beachten?

Die DSGVO ist seit dem 25.05.2018 anwendbar. Bezüglich der Verarbeitung von personenbezogenen Daten trifft die DSGVO und das neue Bundesdatenschutzgesetz (BDSG-neu) Regelungen, die bereits im alten Bundesdatenschutz (BDSG-alt) niedergeschrieben waren. Darüber hinaus sind allerdings zahlreiche neue Regelungen hinzugekommen, z.B. im Bereich der Transparenz- und Informationspflichten, der Betroffenenrechte, des Arbeitnehmerdatenschutzes, der Stellung des Datenschutzbeauftragten, der Auftragsverarbeitung und der Höhe von Bußgeldern bei Verstößen gegen die datenschutzrechtlichen Bestimmungen.

Auf den Vertragsschluss mit Kunden wirken sich die neuen Bestimmungen dann unmittelbar aus, wenn ein Auftragsverarbeitungsverhältnis i.S.d. Art. 28 DSGVO vorliegt. Wenn ein Auftragsverarbeitungsverhältnis, insbesondere nach dem Austausch mit dem Datenschutzbeauftragten, bejaht werden kann, muss zusätzlich zu den getroffenen vertraglichen Regelungen für das Dienstverhältnis ein eigener Auftragsverarbeitungsvertrag nach den Vorgaben des Art. 28 DSGVO, insbesondere nach Art. 28 Abs. 3 DSGVO, geschlossen werden. Neben der Regelung eines Auftragsverarbeitungsvertrages mit den Mindestangaben nach Art. 28 DSGVO sind weitere datenschutzrechtliche Pflichten im Kundenverhältnis zu beachten, wozu u.a. folgende gehören: Existiert für den Fall der Verarbeitung von personenbezogene Daten eine entsprechende Rechtsgrundlage? Wurden alle Informationspflichten gem. Art. 12 ff. DSGVO transparent erfüllt? Wurde der Verarbeitungsprozess hinsichtlich personenbezogener Daten von Kunden in das eigene Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen? Werden die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO ausreichend eingehalten? Muss die eigene Datenschutzerklärung in Bezug auf Verarbeitungstätigkeiten von Kundendaten geändert bzw. ergänzt werden?

Bei diesen und weiteren datenschutzrechtlichen Fragen sollten Unternehmen sich mit dem eigenen Datenschutzbeauftragten austauschen und Gebrauch von der Beratungsfunktion des Datenschutzbeauftragten machen.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen & Kunden überzeugen durch die Bestellung des ext. Datenschutzbeauftragten.

Wann ist keine gesonderte Zustimmung nötig?

Ein Auftragsverarbeitungsvertrag ist immer nur dann abzuschließen, wenn auch tatsächlich ein Auftragsverarbeitungsverhältnis i.S.d. DSGVO vorliegt. Eine Einwilligung muss dann von der betroffenen Person eingeholt werden, wenn keine andere Rechtsgrundlage die personenbezogene Datenverarbeitung rechtfertigt. Art. 6 Abs. 1 nennt einige Rechtsgrundlagen, auf deren Basis eine personenbezogene Datenverarbeitung erfolgen kann:

Die Verarbeitung von personenbezogenen Daten ist für die Vertragserfüllung, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs.1 lit. b) DSGVO).
Die Verarbeitung von personenbezogenen ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c) DSGVO)
Die Verarbeitung von personenbezogenen Daten ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d) DSGVO)
Die Verarbeitung von personenbezogenen Daten ist für die Aufgabenwahrnehmung erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO)
Die Verarbeitung von personenbezogenen Daten ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wess es sich bei der betroffenen Person um ein Kind handelt (Art. 6 Abs. 1 lit. f) DSGVO)

Beispielsweise ist bei einem Mietvertrag mit einem Verbraucher die richtige Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO. Auch in anderen vertraglichen Beziehungen, insbesondere im Bereich von Dienstleistungen, ist die korrekte Rechtsgrundlage Art. 6 Abs. 1 lit. b) DSGVO.

Strafen bei Verstößen gegen DSGVO und BDSG

Diese datenschutzrechtlichen Vorgaben für Auftragsverarbeitungsverträge, Einwilligungen oder alle in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen müssen von Verantwortlichen eingehalten werden, um kein mögliches Bußgeld zu riskieren: Gem Art. 83 Abs. 4 lit. a) DSGVO können Verstöße gegen die Bestimmungen zur Auftragsverarbeitung gem. Art. 28 ff. DSGVO mit Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres sanktioniert werden, je nachdem, welcher der Beträge höher ist.

Für Verstöße gegen die Vorgaben in Bezug auf Einwilligungserklärungen gem. Art. 6 Abs. 1 lit. a), 7 DSGVO und gegen die rechtlichen Vorgaben für Verarbeitungen gem. Art. 6 DSGVO drohen gem Art. 83 Abs. 5 lit. a) DSGVO Geldbußen in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Regelungen in Arbeitsverträgen und Vertraulichkeitsvereinbarungen

Datenschutzrechtliche Bestimmungen finden sich gelegentlich auch in Arbeitsverträgen. Bezüglich Arbeitnehmer sind besondere Regelungen aus dem neuen Bundesdatenschutzgesetz zu berücksichtigen. Besonders wichtig ist allerdings die Verpflichtung von Arbeitnehmern auf das Datengeheimnis. Diese Pflicht ergibt sich aus Art. 32 Abs. 1 lit. b) 2. Var. DSGVO. Empfehlenswert ist in diesem Zusammenhang, die Dokumente zur Verpflichtung auf das Datengeheimnis als Anhang zum Arbeitsvertrag bei neuen Mitarbeitern auszugeben. Bereits eingestellte Mitarbeiter sollten unmittelbar die Verpflichtungserklärung auf das Datengeheimnis erhalten und gegenzeichnen. Ein individuelles Dokument für die Verpflichtungserklärung auf das Datengeheimnis erhalten Sie von Ihrem Datenschutzbeauftragten.

Mit Dienstleistern, die zwar keine Auftragsverarbeiter sind, allerdings potentiell oder tatsächlich Zugriff auf personenbezogene Daten haben, ist der Abschluss einer Vertraulichkeitsvereinbarung (NDA, engl. für “non-disclosure agreement”) zu empfehlen. Auf diese Weise können Unternehmen vertraglich die Verschwiegenheitspflichten ihrer Dienstleister, insbesondere in Bezug auf personenbezogene Daten, festhalten. Empfehlenswert ist eine Vertraulichkeitsvereinbarung z.B. bei dem Einsatz von externen Reinigungsdiensten. Auch in diesem Zusammenhang sollten Sie mit Ihrem Datenschutzbeauftragten eine individuelle Vertraulichkeitsvereinbarung für Ihre Dienstleister anfertigen.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Nils Möllers

externer Datenschutzbeauftragter

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy

Datenschutz bei Verträgen