DSGVO: Verträge mit externen Dienstleistern

Überprüfung. Beratung. Umsetzung.

Einleitung

Die Zusammenarbeit mit externen Dienstleistern ist facettenreich und kann in unterschiedlichsten Formen auftreten: Sowohl die Zusammenarbeit in der Gebäudereinigung als auch die Verwendung von Cloud-Systemen stellen eine Hinzuziehung externer Dienstleister dar.

Spätestens seit Inkrafttreten und Geltung der DSGVO hat sich in der Vertragsgestaltung vieles getan und eine Sensibilisierung für Datenschutz wird gerade im Geschäftsverkehr immer spürbarer. Um bei der Arbeit mit externen Dienstleistern keine Fehler zu begehen, muss jedoch auf einiges geachtet werden.

Hierbei empfiehlt es sich in verschiedenen Schritten die Geschäftsbeziehung mit dem Dienstleister zu überprüfen.

Schritt 1: Ist die DSGVO für diese Geschäftsbeziehung überhaupt von Relevanz?

In der Logistikbranche wird auf externe Zusteller zurückgegriffen. Zum Kundenstamm von Cloudanbietern zählen inzwischen Unternehmen aus allen Branchen in jeder Größe. Selbst Kliniken schließen Verträge mit externen Reinigungsfirmen.

Externe Dienstleistungen zeigen sich also in allen Formen und in jeder Konstellation. Allein die Existenz von personenbezogenen Daten führt aber nicht zwangsläufig zu den Rechtsfolgen der DSGVO. Nicht jeder Vertrag, der Berührungspunkte mit personenbezogenen Daten aufweist, erfordert eine Anpassung an die DSGVO. Würde man all diesen Verträgen die Pflichten aus der DSGVO auferlegen, käme es zu einer uferlosen Anwendung. Deshalb genügt es nicht, wenn irgendwie Daten ausgetauscht werden. Vielmehr ist erforderlich, dass der Schwerpunkt der vertraglichen Leistung in der Verarbeitung personenbezogener Daten liegt.

Im ersten Schritt müssen Sie also prüfen, ob bei Ihnen der Schwerpunkt der vertraglichen Leistung in der Verarbeitung solcher Daten liegt.

Schritt 2: Welche Konstellation ist einschlägig?

Sollte es sich bei dem Vertrag um einen mit Schwerpunkt in der Verarbeitung personenbezogener Daten handeln, muss geklärt werden, wer die Verantwortlichkeit für die personenbezogenen Daten trägt. Der Gesetzgeber unterscheidet hier zwischen eigener, gemeinsamer Verantwortlichkeit und Auftragsdatenvereinbarung.

Gemeinsame Verantwortlichkeit mit externen Dienstleistern

Die gemeinsame Verantwortlichkeit ist in Art. 26 DSGVO geregelt. Eine Gemeinsame Verantwortlichkeit liegt vor, wenn gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dies wird vom EuGH weit ausgelegt, sodass eine gemeinsame Verantwortlichkeit öfter vorkommt.

Für die Vertragsgestaltung ist entscheidend, dass berücksichtigt wird, dass an die gemeinsame Verantwortlichkeit gesetzliche Verpflichtungen an die Vertragsgestaltung geknüpft werden. Art. 26 I 2 DSGVO schreibt vor, dass eine transparente Vereinbarung darüber getroffen werden muss, in der die datenschutzrechtlichen Pflichten der einzelnen Beteiligten festgelegt werden.

Aufgrund der Neuheit der Thematik kann noch kaum von einer gefestigten Entscheidungspraxis der Behörden ausgegangen werden, was zuletzt viele Unternehmen verunsicherte.

Umso erfreulicher ist Vorgehen der Aufsichtsbehörde Baden- Württemberg. Diese veröffentlichte bereits eine erste Mustervereinbarung, die frei verfügbar ist.

Der Mustervertrag sieht mindestens folgenden Inhalt vor:

  1. Grund der gemeinsamen Verantwortlichkeit
  2. Beschreibung der einzelnen Prozessabschnitte der Verarbeitung
  3. Zuordnung der daraus resultierenden Pflichten zu einer Partei
  4. Nennung der Stelle, bei der die Betroffenenrechte geltend gemacht werden können

Grundsätzlich ist das Hochladen einer Mustervereinbarung begrüßenswert und sie eignet sich definitiv zur Orientierung. Einige kleine Kritikpunkte bleiben jedoch bestehen.

Grundproblem ist, dass man sich ganz klar an „Standardkonstellationen“ orientiert hat, wie etwa die gemeinsame Nutzung von Datenbanken. Wie bereits dargestellt gibt es aber gerade beim Einsatz externer Dienstleister eine Vielzahl von Vereinbarungen gibt, auf die der Mustervertrag nicht passt. Deshalb kann eine individuelle Anpassung des Vertrages an die eigene Vertragsgestaltung unerlässlich sein.

Zusammenfassend haben sich in der Praxis also zwei Fallstricken herauskristallisiert:

  1. Das Erkennen einer gemeinsamen Verantwortung
  2. Das Abschließen einer Vereinbarung, den Anforderungen von Art. 26 DSGVO genügt

Fehler können hier aber gravierende Folgen haben. Gemeinsam Verantwortliche haften gesamtschuldnerisch bei Schadensersatzansprüchen. Hier ist vollkommen unerheblich, dass den Vertragsparteien eventuell nicht bewusst war, dass eine gemeinsame Datenverarbeitung vorliegt.

Zur Vermeidung solcher Ansprüche empfehlen wir deshalb, die eigenen Vertragsbeziehungen mit externen Dienstleistern gründlich zu evaluieren und auf ihre Datenschutzkonformität zu überprüfen.

Eigene Verantwortlichkeit/ Auftragsverarbeitung

Die Auftragsdatenverarbeitung ist regelmäßig von der gemeinsamen Datenverarbeitung abzugrenzen. Wer nämlich weisungsabhängig ist, also ohne Ermessensspielraum hinsichtlich des Zwecks der Datenverarbeitung handelt, ist Auftragsverarbeiter. Auch hier gibt es vertragliche Besonderheiten, die beachtet werden müssen. 

Schritt 3: Liegt eine Datenübertragung an Drittländern vor?

Im Zuge der Evaluierung der Dienstleistungsverträge muss auch genau geklärt werden, welche personenbezogenen Daten eventuell ins Ausland übertragen werden.

Aufgrund der europaweiten Vereinheitlichung sind Übertragungen innerhalb der EU unproblematisch. Ganz neue vertragliche Herausforderungen ergeben sich jedoch, wenn personenbezogene Daten in sogenannte Drittländer übermittelt werden, wobei mit Drittländern das außereuropäische Ausland gemeint ist. Hier normieren die Art. 44 ff. DSGVO zahlreiche Einzelheiten.

Gleichzeitig gibt es aber auch Möglichkeiten, die einen Datentransfer in Drittländer ermöglichen.

Angemessenes Schutzniveau

Die unkomplizierteste Alternative ist der Transfer in ein Drittland, für das ein sogenannter Angemessenheitsbeschluss vorliegt. Dieser attestiert dem jeweiligen Land ein angemessenes, gleichwertiges Datenschutzniveau. Ob dies der Fall ist, wird von der EU-Kommission durch den Angemessenheitsbeschluss festgestellt.

Bei folgenden Ländern wurde ein angemessenes Datenschutzniveau attestiert:

      • Andorra
      • Argentinien
      • Färöer-Inseln
      • Guernsey
      • Isle of Man
      • Israel (eingeschränkt)
      • Jersey, Kanada (eingeschränkt)
      • Neuseeland
      • Schweiz
      • Sonderfall: USA / Privacy Shield (dazu später mehr)

Wenn für ein Land ein Angemessenheitsbeschluss vorliegt, ist keine weitere Prüfung notwendig. Ein eingeschränkter Angemessenheitsbeschluss bedeutet, dass dieser nur auf ein bestimmtes Gebiet oder einen bestimmten Sektor beschränkt ist.

Ein Sonderfall ist jedoch die USA: In ihrem Beschluss vom 12.07.2016 hat die EU-Kommission entschieden, dass der Selbstzertifizierungsmechanismus des Privacy Shields ein angemessenes Datenschutzniveau ermögliche. Diese Entscheidung ist jedoch nicht mit dem Angemessenheitsbeschluss gleichzusetzen. Der EU-U.S. Privacy Shield kann nämlich nicht für alle Übermittlungen personenbezogener Daten in die USA herangezogen werden, sondern gilt nur für Übermittlungen an Unternehmen, die eine gültige Privacy-Shield-Zertifizierung besitzen.

Ausschließlich in solchen Fällen stellt der Privacy Shield eine Rechtsgrundlage dar. Hier ist gerade im Bereich der Cloud-Dienstleistungen genau zu prüfen und gegebenenfalls vertraglich zu klären, wie personenbezogene Daten gehandhabt werden und ob eine Zertifizierung vorliegt.

Kein angemessenes Schutzniveau

Deutlich schwieriger ist die Situation, wenn kein angemessenes Datenschutzniveau vorliegt. In diesen Fällen sind die Art. 46- 49 DSGVO zu beachten. Aber auch hier kann mit gewissen vertraglichen Vereinbarungen ein datenschutzkonformer Dienstleistungs- und Datentransfer sichergestellt werden.

Datenübermittlung mit geeigneten Garantien gem. Art. 46 DSGVO

Wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien geschaffen haben, ist eine Datenübermittlung zulässig. In Art. 41 II DSGVO sind die geeigneten Garantien abschließend aufgezählt. Bei allen geeigneten Garantien muss aber gewährleistet werden, dass die Betroffenen durchsetzbare Rechte und Rechtsbehelfe haben.

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)

Es besteht die Möglichkeit, verbindliche interne Datenschutzvorschriften zu treffen. Dies empfiehlt sich vor allem bei internationalen Konzernen, bei denen personenbezogen Daten ins EU-Ausland übertragen werden. Für den Vertrag mit dem externen Dienstleister ist es aber weder praktikabel noch realistisch, sodass Binding Corporate Rules hier keine Abhilfe schaffen.

Standardklauseln der Kommission oder einer Aufsichtsbehörde

Schließlich gibt es die Option im Vertrag die Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde zu nutzen. Bei Verwendung dieser ist der Datentransfer ohne zusätzliche Genehmigung der Aufsichtsbehörde zulässig.

Aber auch hier ist bei der vertraglichen Ausgestaltung eine gewisse Vorsicht geboten: Verträge mit externen Dienstleistern können in unterschiedlichsten Formen auftreten und die Standardklauseln müssen im Regelfall mit eigenen Vertragsbestandteilen ergänzt werden. Zwar steht es den Parteien frei, eigene ergänzende Klauseln hinzuzufügen. Allerdings dürften diese nicht im Widerspruch zu den EU-Standardklauseln oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden- auch nicht mittelbar. Sollte es zu einer solchen problematischen Ergänzungsklausel kommen, wird die gesamte Datenverarbeitung genehmigungspflichtig, weshalb hier besondere Vorsicht geboten ist.

Einzeln ausgehandelte Vertragsklauseln

Ferner können mit den Dienstleistern eigene, individuelle Vertragsklauseln vereinbart werden. Dies erfordert jedoch, dass die Klauseln genehmigt werden und ein sogenanntes Kohärenzverfahren durchgeführt wird. Dies kann Zeit und Ressourcen in Anspruch nehmen, weshalb abgewogen werden muss, inwiefern dies für das eigene Unternehmen ökonomisch sinnvoll ist.

Fazit

Der Datentransfer in andere Länder kann folglich besondere Pflichten nach sich ziehen und die Vertragssituation gänzlich kippen. In Anbetracht der bereits dargestellten Haftungskonstellationen ist auch hier eine genaue Prüfung unerlässlich. Auch muss mit dem Dienstleister klar abgeklärt werden, ob eine Datenübertragung in welche Länder stattfinden soll. Welche Vertragsalternative gewählt wird, hängt ganz klar vom Umfang und der Eigenart der Dienstleistung ab.

Sonderfall: Brexit

Großbritannien hat die Europäische Union am 31.01.2020 verlassen. Allerdings läuft die Übergangsfrist noch bis Ende des Jahres 2020., sodass bis dahin der Datentransfer wie in einem EU-Land möglich bleibt.

Grundsätzlich kann die Übergangszeit verlängert werden, die Lage sollte aber dennoch beobachtet werden, da bei Ablauf der Frist Großbritannien wie ein gewöhnliches Drittland behandelt wird. Es gibt theoretisch aber die Möglichkeit, dass die Europäische Union in einem Angemessenheitsbeschluss die Gleichwertigkeit mit der EU in Sachen Datenschutz feststellt. Dies wäre für die Wirtschaft die unkomplizierteste Lösung.

Bis dahin bleibt jedoch einiges unklar und bei Verträgen mit längeren Laufzeiten, die eventuell nach Ablauf der Übergangsfrist vollzogen werden, empfiehlt es sich, vorab entsprechende Maßnahmen zu treffen.

Schritt 4: Welche Möglichkeiten hat Ihr Unternehmen?

Es zeigt sich, dass bei Verträgen mit externen Dienstleistern nicht nur die Hauptpflichten und Modalitäten geklärt werden müssen. Wir empfehlen daher, bei Vertragsverhandlungen ein genaues Augenmerk auf den Datenschutz zu legen, um so eventuell teure Fehler zu vermeiden.

Ansprechpartner
Newsletter

Sie benötigen weitere Informationen oder möchten mehr über unsere Rechtsgebiete erfahren?

Kontaktieren Sie uns