Vieles bleibt gleich, einiges ändert sich. In unserer Blogreihe zur Datenschutz-Grundverordnung (DSGVO) haben wir einen ersten Eindruck vermittelt, was auf Unternehmen zukommt. Knappe 2 Jahre bleiben nun für Unternehmen, um Vorkehrungen zu treffen. Aber womit fängt man im Unternehmen an? Unser Tipp: Mit den Verträgen zur Auftragsdatenverarbeitung. Denn die Pflicht zur Vereinbarung von Verträgen zur Auftragsdatenverarbeitung bleibt auch nach der DSGVO erhalten. Wir hatten berichtet.
Viele Unternehmen haben in den Jahren eine Vielzahl von Verträgen geschlossen. Vertragspartner auf die kommende Gesetzesänderung hinzuweisen und Ergänzungsvereinbarungen abzuschließen, wird vor allem Zeit kosten. Zudem sind nicht alle Unternehmen in der Lage aus dem Stegreif die Vertragspartner einer Auftragsdatenverarbeitung zu benennen. Zumeist liegt es an einem fehlenden oder unzureichenden Vertragsmanagement.
Wir empfehlen daher zwei Maßnahmen:
- Umstellung der Bestandsverträge und
- Berücksichtigung der zukünftigen Gesetzeslage bereits heute bei Neu-Verträgen.
Bestandsverträge umstellen
Um den Aufwand, auch für den Vertragspartner so gering wie möglich zu halten, ist es empfehlenswert, einen Delta-Vertrag zum bestehenden Vertrag zu entwickeln, der nur die Regelungen nachjustiert, die sich unter der DSGVO geändert haben. Art. 28 DSGVO listet die Anforderungen an eine Vereinbarung zu Auftragsdatenverarbeitung auf – ähnlich wie der § 11 BDSG. Wer die Änderungen liest, wird feststellen, dass die Vereinbarungen im Wesentlichen unverändert bleiben können. Von der DSGVO werden entweder die bestehenden Regelungen des § 11 BDSG übernommen oder Anforderungen eingeführt, die sich ohnedies in den letzten Jahren allgemein etabliert hatten. Sofern die Bestandsverträge schon auf einem „hohen Datenschutzniveau“ sind, umfasst der Delta-Vertrag nur ein bis zwei DIN A4 Seiten.
Differenz zwischen alter und neuer Rechtslage
Auch wenn die Anpassungen sehr gering sind und teilweise nur juristische Spitzfindigkeiten beinhalten, wird man Bestandsverträge unter der DSGVO nur schwer beibehalten können. Gleichwohl wird es Unternehmen geben, die in Anbetracht der geringen vertraglichen Veränderung, den mit einer Umstellung verbundenen Aufwand scheuen werden. Wichtig ist aber: Genügt die Vereinbarung nicht den Anforderungen der DSGVO, so liegt eine Ordnungswidrigkeit vor, die nach Art. 83 Abs. 4 lit. a mit einem Bußgeld von 10.000.000 EUR oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden kann. Wer dieses Risiko nicht eingehen und den sichersten Weg gehen will, der sollte einen Delta-Vertrag schließen.
Je nach Bestandsvertrag werden sich dabei insbesondere bei den Pflichten des Auftragsverarbeiters folgende Änderungen ergeben:
- ausdrücklicher Hinweis auf bestehende Subunternehmer, einschließlich Einräumung eines Widerspruchsrechts für den Verantwortlichen,
- Unterstützung des Verantwortlichen bei der Erfüllung von Ansprüchen der betroffenen Person – insbesondere hinsichtlich des neuen Rechts auf Datenportabilität,
- Meldung von Datenschutzverstößen und Mitwirkung bei der Erfüllung der neu geregelten Meldepflichten,
- Mitwirkung an Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit Aufsichtsbehörden.
Neuverträge
Das beschriebene Delta zwischen den unterschiedlichen Rechtslagen sollte man auch bereits jetzt beim Abschluss von Neuverträgen berücksichtigen. Andernfalls wird man spätestens 2018 wieder den Kontakt zum Vertragspartner suchen müssen.
Mickro2010
19. September 2017 @ 15:36
Leider ist die Antwort nicht korrekt. Das BDSG wird in der Fassung, die zum 25.05.2018 in Kraft tritt, sehr wohl Regelungen zur Auftragsdatenverarbeitung enthalten (BGBl 2017 Teil I, S. 2097, Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU). Zum ADV-Vertrag findet sich insbesondere im neuen § 62 BDSG (Abs. 5) eine gesetzliche Regelung, aus der sich der Mindestinhalt eines solchen Vertrages ergibt.
Felix Schmidt
20. September 2017 @ 9:25
Sehr geehrter Mickro2010,
vielen Dank für Ihren Beitrag. Leider ist Ihnen in Ihrer Argumentation ein Fehler unterlaufen. Der von Ihnen angeführte § 62 BDSG-neu ist Bestandteil des 3. Teils des BDSG-neu. Dieser Teil enthält Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680. Im § 45 BDSG-neu wird der Anwendungsbereich dieses Teils, unter den auch der von Ihnen angeführte § 62 fällt, definiert. Die Vorschriften gelten nur für einen bestimmten Teil öffentlicher Stellen (die so nicht der DSGVO unterliegen), nämlich solcher, die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständig sind. Für alle nicht-öffentlichen Stellen (also alle Unternehmen) und einen Großteil der öffentlichen Stellen gelten die Regelungen der DSGVO und somit auch die dortigen Regelungen zu ADV-Verträgen.
Mit freundlichen Grüßen
Roman
12. September 2017 @ 16:18
Besten Dank für die schnelle und klare Antwort.
Generell möchte ich ein dickes Lob für diese sehr informative Webpräsenz hier aussprechen. Gerne weiter so 🙂
Roman
11. September 2017 @ 16:39
Ist es korrekt, dass in Zukunft keine ADV-Verträge mehr auf dem (neuen) BDSG fußen dürfen, sondern sich stattdessen immer direkt auf Art. 28 DS-GVO beziehen müssen?
Felix Schmidt
12. September 2017 @ 13:53
Form und Inhalt der ADV-Verträge richten sich ab Mai 2018 allein nach der DSGVO. Das BDSG-neu enthält daher hierzu auch keine Regelung mehr. Der alte § 11 BDSG entfällt.