Vieles bleibt gleich, einiges ändert sich. In unserer Blogreihe zur Datenschutz-Grundverordnung (DSGVO) haben wir einen ersten Eindruck vermittelt, was auf Unternehmen zukommt. Knappe 2 Jahre bleiben nun für Unternehmen, um Vorkehrungen zu treffen. Aber womit fängt man im Unternehmen an? Unser Tipp: Mit den Verträgen zur Auftragsdatenverarbeitung. Denn die Pflicht zur Vereinbarung von Verträgen zur Auftragsdatenverarbeitung bleibt auch nach der DSGVO erhalten. Wir hatten berichtet.

Viele Unternehmen haben in den Jahren eine Vielzahl von Verträgen geschlossen. Vertragspartner auf die kommende Gesetzesänderung hinzuweisen und Ergänzungsvereinbarungen abzuschließen, wird vor allem Zeit kosten. Zudem sind nicht alle Unternehmen in der Lage aus dem Stegreif die Vertragspartner einer Auftragsdatenverarbeitung zu benennen. Zumeist liegt es an einem fehlenden oder unzureichenden Vertragsmanagement.

Wir empfehlen daher zwei Maßnahmen:

  1. Umstellung der Bestandsverträge und
  2. Berücksichtigung der zukünftigen Gesetzeslage bereits heute bei Neu-Verträgen.

Bestandsverträge umstellen

Um den Aufwand, auch für den Vertragspartner so gering wie möglich zu halten, ist es empfehlenswert, einen Delta-Vertrag zum bestehenden Vertrag zu entwickeln, der nur die Regelungen nachjustiert, die sich unter der DSGVO geändert haben. Art. 28 DSGVO listet die Anforderungen an eine Vereinbarung zu Auftragsdatenverarbeitung auf – ähnlich wie der § 11 BDSG. Wer die Änderungen liest, wird feststellen, dass die Vereinbarungen im Wesentlichen unverändert bleiben können. Von der DSGVO werden entweder die bestehenden Regelungen des § 11 BDSG übernommen oder Anforderungen eingeführt, die sich ohnedies in den letzten Jahren allgemein etabliert hatten. Sofern die Bestandsverträge schon auf einem „hohen Datenschutzniveau“ sind, umfasst der Delta-Vertrag nur ein bis zwei DIN A4 Seiten.

Differenz zwischen alter und neuer Rechtslage

Auch wenn die Anpassungen sehr gering sind und teilweise nur juristische Spitzfindigkeiten beinhalten, wird man Bestandsverträge unter der DSGVO nur schwer beibehalten können. Gleichwohl wird es Unternehmen geben, die in Anbetracht der geringen vertraglichen Veränderung, den mit einer Umstellung verbundenen Aufwand scheuen werden. Wichtig ist aber: Genügt die Vereinbarung nicht den Anforderungen der DSGVO, so liegt eine Ordnungswidrigkeit vor, die nach Art. 83 Abs. 4 lit. a mit einem Bußgeld von 10.000.000 EUR oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden kann. Wer dieses Risiko nicht eingehen und den sichersten Weg gehen will, der sollte einen Delta-Vertrag schließen.

Je nach Bestandsvertrag werden sich dabei insbesondere bei den Pflichten des Auftragsverarbeiters folgende Änderungen ergeben:

  • ausdrücklicher Hinweis auf bestehende Subunternehmer, einschließlich Einräumung eines Widerspruchsrechts für den Verantwortlichen,
  • Unterstützung des Verantwortlichen bei der Erfüllung von Ansprüchen der betroffenen Person – insbesondere hinsichtlich des neuen Rechts auf Datenportabilität,
  • Meldung von Datenschutzverstößen und Mitwirkung bei der Erfüllung der neu geregelten Meldepflichten,
  • Mitwirkung an Datenschutz-Folgeabschätzungen und vorherige Konsultationen mit Aufsichtsbehörden.

Neuverträge

Das beschriebene Delta zwischen den unterschiedlichen Rechtslagen sollte man auch bereits jetzt beim Abschluss von Neuverträgen berücksichtigen. Andernfalls wird man spätestens 2018 wieder den Kontakt zum Vertragspartner suchen müssen.