Wer bin ich, und wenn ja, wie viele?
Bei Abschluss von Verträgen mit externen Dienstleistern stellt sich regelmäßig die Frage, ob und ggf. welche datenschutzrechtliche Zusatzvereinbarung abgeschlossen werden muss oder sollte. Viele Unternehmen schließen »zur Sicherheit« eine Vereinbarung über Auftragsverarbeitung (AVV) ab. Davon ist allerdings abzuraten, da es zu rechtlichen Folgeproblemen führt.
Wenn die Rolle des Vertragspartners falsch eingestuft wird, kann dies bei Abschluss einer AVV mit einem Unternehmen, das tatsächlich unabhängig verantwortlich ist, zu (bußgeldbewehrten) Verstößen gegen die DSGVO und Nachteilen für den (vermeintlichen) Auftraggeber führen:
- Der Auftraggeber hat ggf. keine Rechtsgrundlage für die Übermittlung von Daten an den ScheinAuftragsverarbeiter, weil er fälschlicherweise davon ausgeht, im Rahmen einer Auftragsverarbeitung privilegiert zu sein. Er versäumt daher ggf. die Einholung einer Einwilligung.
- In der Folge ignoriert er ggf. das Widerrufs oder Widerspruchsrecht der Betroffenen gegen die Übermittlung.
- Der Auftraggeber erhöht sein Haftungsrisiko. Ein Auftragsverarbeiter haftet im Innenverhältnis eingeschränkt (Art. 82 Abs. 2 S.2 DSGVO). Es ist fraglich, ob nach Abschluss einer AVV der Auftraggeber sich darauf berufen kann, dass der Auftragnehmer selbst in vollem Umfang als Verantwortlicher haftet.
- Der Auftraggeber bearbeitet Betroffenenrechte, obwohl er für Datenverarbeitungen in der Verantwortung des Vertragspartners gar nicht zuständig ist.
- Aus alldem folgt, dass die Betroffenen ggf. falsch informiert werden. Die DSGVO stuft eine solche Verletzung als besonders schweren Verstoß ein, der mit dem höheren Bußgeldrahmen von 4% bzw. EUR 20 Mio. bewehrt ist (Art. 83 Abs. 5 lit. b i.V.m. Art. 1214 DSGVO).
Zu empfehlen ist daher folgendes Vorgehen:
Zunächst ist die datenschutzrechtliche Rolle des Vertragspartners richtig zu identifizieren, nämlich als AlleinVerantwortlicher, GemeinsamVerantwortlicher, Auftragsverarbeiter oder NichtVerarbeiter. Verantwortlicher ist, wer »allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet« (Art. 4 Nr. 7 DSGVO), Auftragsverarbeiter, wer personenbezogene Daten (nur) im Auftrag eines Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Die Einstufung ist oft schwierig.
Soweit eine Auftragsverarbeitung oder eine Gemeinsame Verarbeitung vorliegt, muss ein Vertrag mit den gesetzlich vorgeschriebenen Regelungspunkten abgeschlossen werden.Soweit ein Vertrag zwischen zwei unabhängigen Verantwortlichen vorliegt, kann eine Vereinbarung abgeschlossen werden.
Ggf. ergibt sich sogar die Pflicht, eine solche Vereinbarung zu schließen, aus Art. 32 DSGVO. Bei einem externen Dienstleister, der keine Datenverarbeitung durchführt, aber ggf. Einsichtsmöglichkeiten in personenbezogene Daten hat (z.B. Reinigungskraft), ist ggf. eine Vertraulichkeitsvereinbarung abzuschließen.
FAZIT
- Die richtige datenschutzrechtliche Einstufung des Vertragspartners kann schwierig sein, auch die Datenschutzbehörden sind sich nicht immer einig.
- Sie ist dennoch erforderlich, da der Auftraggeber sonst gegen bußgeldbewehrte datenschutzrechtliche Normen verstößt und ggf. Haftungsnachteile erleidet.