datenschutz bei verträgen

Datenschutz bei Verträgen

/ Allgemein, Datenschutz

Rechtssichere DSGVO-Gestaltung

Der Datenschutz bei Verträgen ist in der heutigen digitalen Geschäftswelt von zentraler Bedeutung. Unternehmen müssen sicherstellen, dass ihre vertraglichen Vereinbarungen alle relevanten Datenschutzaspekte abdecken – von der Festlegung der Verantwortlichkeiten bei der Datenverarbeitung bis hin zu technischen und organisatorischen Schutzmaßnahmen. Besonders kritisch sind dabei Auftragsverarbeitungsverträge nach Art. 28 DSGVO, die präzise Regelungen zur Weisungsgebundenheit, Subunternehmereinbindung und Löschkonzepten enthalten müssen. Eine unsorgfältige Vertragsgestaltung kann zu empfindlichen Bußgeldern, Abmahnungen und Reputationsschäden führen.

Die DSGVO hat die Anforderungen an die datenschutzkonforme Vertragsgestaltung deutlich verschärft. Unternehmen müssen ihre Standardvertragsklauseln durch zusätzliche technische und organisatorische Maßnahmen ergänzen und ein Transfer Impact Assessment durchführen. Auch die Einwilligungsklauseln in Verträgen unterliegen strengen Vorgaben: Sie müssen freiwillig, informiert und durch eine aktive Handlung erfolgen. Vorausgefüllte Checkboxen oder versteckte Klauseln in AGB sind rechtlich unwirksam und können kostspielige rechtliche Konsequenzen nach sich ziehen. Als Datenschutzbeauftragter berate ich Sie gerne im Detail.

Kontakt aufnehmen
Inhaltsübersicht
  1. Rechtssichere DSGVO-Gestaltung
  2. Das Wichtigste im Überblick
  3. Warum datenschutzkonforme Verträge heute unerlässlich sind
  4. Rechtliche Grundlagen für datenschutzkonforme Verträge
  5. Typische Herausforderungen bei der datenschutzkonformen Vertragsgestaltung
  6. Lösungsansatz: Maßgeschneiderte, praxisorientierte Vertragskonzepte
  7. So starten wir die Zusammenarbeit
  8. Häufig gestellte Fragen 
  9. Linkliste

Das Wichtigste im Überblick

  • Mangelhafte Datenschutzklauseln in Verträgen können zu empfindlichen Bußgeldern, Abmahnungen und Reputationsschäden führen
  • Eine datenschutzkonforme Vertragsgestaltung erfordert die Berücksichtigung der DSGVO, des BDSG sowie aktueller Rechtsprechung
  • Maßgeschneiderte, praxisorientierte Vertragslösungen bieten mehr Rechtssicherheit als überkomplexe Standardvorlagen

Warum datenschutzkonforme Verträge heute unerlässlich sind

Die Verarbeitung personenbezogener Daten ist heute aus dem Geschäftsalltag nicht mehr wegzudenken. Ob Kundendaten in Online-Shops, Mitarbeiterdaten in HR-Systemen oder Patientendaten im Gesundheitswesen – fast jedes Unternehmen verarbeitet schützenswerte Informationen. Die vertragliche Absicherung dieser Datenverarbeitung ist dabei nicht nur eine rechtliche Pflicht, sondern auch ein wichtiges Instrument zum Schutz vor Haftungsrisiken.

Mangelhaft gestaltete Verträge können schwerwiegende Konsequenzen haben:

  • Hohe Bußgelder 
  • Abmahnungen durch Wettbewerber oder Verbraucherschutzorganisationen
  • Reputationsschäden und Vertrauensverlust bei Kunden und Geschäftspartnern
  • Haftungsansprüche betroffener Personen
  • Untersagung von Geschäftsprozessen durch Aufsichtsbehörden

Besonders kritisch wird es, wenn personenbezogene Daten an Dienstleister oder internationale Geschäftspartner weitergegeben werden. Hier greifen besondere Anforderungen an die Vertragsgestaltung, deren Missachtung erhebliche Risiken birgt.

Rechtliche Grundlagen für datenschutzkonforme Verträge

Die datenschutzkonforme Vertragsgestaltung basiert auf mehreren zentralen Säulen des Datenschutzrechts:

Rechtsgrundlagen nach Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage, die vertraglich korrekt abgebildet werden muss:

  • Einwilligung der betroffenen Person
  • Vertragserfüllung oder vorvertragliche Maßnahmen
  • Rechtliche Verpflichtung des Verantwortlichen
  • Wahrung lebenswichtiger Interessen
  • Öffentliches Interesse oder Ausübung öffentlicher Gewalt
  • Berechtigte Interessen des Verantwortlichen

Anforderungen an Einwilligungsklauseln nach Art. 7 DSGVO

Die Rechtsprechung hat in den letzten Jahren die Anforderungen an wirksame Einwilligungsklauseln präzisiert. Eine datenschutzrechtliche Einwilligung muss unter anderem:

  • Freiwillig erteilt werden
  • Für den konkreten Einzelfall erfolgen
  • In informierter Weise abgegeben werden
  • nachweisbar sein

Auftragsverarbeitungsverträge nach Art. 28 DSGVO

Werden personenbezogene Daten durch externe Dienstleister verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich. Dieser muss nach Art. 28 DSGVO mindestens folgende Elemente enthalten:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Pflichten des Auftragsverarbeiters (insbesondere Weisungsgebundenheit)
  • Genehmigung von Subunternehmern
  • Unterstützungspflichten des Auftragsverarbeiters
  • Löschpflichten nach Abschluss der Verarbeitung
  • Kontroll- und Nachweisrechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen

Typische Herausforderungen bei der datenschutzkonformen Vertragsgestaltung

AGB und Datenschutzerklärungen

Viele Unternehmen vermischen AGB-Klauseln mit Datenschutzerklärungen oder Einwilligungen. Die Einwilligung zur Datenverarbeitung sollte stets separat und freiwillig erfolgen, während AGB lediglich die vertraglichen Rahmenbedingungen regeln sollten.

Cloud-Dienste und SaaS-Anwendungen

Bei der Nutzung von Cloud-Diensten entstehen komplexe Vertragsbeziehungen, die datenschutzrechtlich sauber abgebildet werden müssen. Besondere Schwierigkeiten bereiten:

  • Die korrekte Rollenverteilung (Verantwortlicher vs. Auftragsverarbeiter)
  • Die Einbindung von Subunternehmern in die Verarbeitungskette
  • Die häufig unzureichenden Standardverträge internationaler Anbieter

Gesundheitsdaten und besondere Kategorien

Im Gesundheitswesen gelten besonders strenge Anforderungen an die Vertragsgestaltung. Artikel 9 DSGVO verlangt spezifische Garantien und Schutzmaßnahmen für sensible Daten, die in Verträgen präzise abgebildet werden müssen.

Haftungsverteilung bei gemeinsamer Verantwortlichkeit

Seit der EuGH-Entscheidung zur gemeinsamen Verantwortlichkeit bei Facebook-Fanpages müssen viele Kooperationen neu vertraglich geregelt werden. Art. 26 DSGVO verlangt eine transparente Festlegung der jeweiligen Verantwortlichkeiten, die in der Praxis oft fehlt.

Lösungsansatz: Maßgeschneiderte, praxisorientierte Vertragskonzepte

  1. Risikoadäquate Analyse
  2. Verständliche Vertragsdokumente
  3. Internationale Datentransfers rechtssicher gestalten
  4. Branchenspezifische Vertragslösungen

So starten wir die Zusammenarbeit

  1. Erstgespräch
  2. Maßgeschneidertes Angebot
  3. Ausführliches Briefing
  4. Entwicklung und Implementierung
  5. Kontinuierliche Betreuung

Häufig gestellte Fragen 

Welche Verträge müssen besonders auf Datenschutzkonformität geprüft werden?

Besonders kritisch sind Auftragsverarbeitungsverträge, Cloud-Service-Vereinbarungen, Verträge mit internationalen Partnern, Kooperationsverträge mit gemeinsamer Verantwortlichkeit, Arbeitsverträge mit Datenschutzklauseln sowie Verträge, die die Verarbeitung besonderer Datenkategorien (wie Gesundheitsdaten) betreffen. Auch AGB und Nutzungsbedingungen für Online-Dienste sind regelmäßig auf Datenschutzkonformität zu prüfen.

Wie unterscheiden sich Auftragsverarbeitungsverträge von Joint-Controller-Vereinbarungen?

Bei der Auftragsverarbeitung (Art. 28 DSGVO) verarbeitet ein Dienstleister Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Bei einer gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) legen zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung fest. Die vertraglichen Anforderungen unterscheiden sich erheblich: Während der AVV detaillierte Weisungsrechte und Kontrollmechanismen definieren muss, regelt die Joint-Controller-Vereinbarung primär die Verteilung der Verantwortlichkeiten und Informationspflichten gegenüber den Betroffenen.

Welche Folgen drohen bei mangelhaften Datenschutzklauseln in Verträgen?

Die Konsequenzen reichen von Bußgeldern, wettbewerbsrechtlichen Abmahnungen und zivilrechtlichen Haftungsansprüchen bis hin zu behördlichen Untersagungsverfügungen. Auch Reputationsschäden und der Verlust von Geschäftsbeziehungen können erhebliche wirtschaftliche Folgen haben.

Wie müssen Einwilligungsklauseln gestaltet sein, um DSGVO-konform zu sein?

Eine wirksame Einwilligung muss freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich durch eine aktive Handlung erfolgen. Die Klausel muss in klarer, einfacher Sprache formuliert sein, darf nicht in AGB versteckt werden und muss auf die jederzeitige Widerrufbarkeit hinweisen. Vorausgefüllte Checkboxen sind unzulässig, und die Einwilligung darf nicht zur Bedingung für eine Vertragserfüllung gemacht werden, wenn die Datenverarbeitung für die Vertragserfüllung nicht erforderlich ist.

Wie sollten technische und organisatorische Maßnahmen (TOMs) in Verträgen dokumentiert werden?

Technische und organisatorische Maßnahmen sollten nicht als standardisierte Anhänge, sondern als spezifische, auf den jeweiligen Verarbeitungskontext zugeschnittene Dokumentation in Verträge integriert werden. Eine wirksame TOM-Dokumentation umfasst konkrete Maßnahmen zur Pseudonymisierung und Verschlüsselung, Mechanismen zur kontinuierlichen Sicherstellung der Vertraulichkeit und Integrität, Verfahren zur raschen Wiederherstellung nach technischen Zwischenfällen sowie regelmäßige Evaluierungsverfahren.

Wie oft sollten bestehende Verträge auf Datenschutzkonformität überprüft werden?

Wir empfehlen eine jährliche Überprüfung aller datenschutzrelevanten Verträge sowie zusätzlich bei signifikanten Änderungen der Geschäftsprozesse, bei neuen Rechtsprechungen oder Gesetzesänderungen sowie vor dem Einsatz neuer IT-Systeme oder der Einbindung neuer Dienstleister. Besonders kritische Verträge mit internationalen Partnern sollten halbjährlich evaluiert werden.

Welche Klauseln in Auftragsverarbeitungsverträgen werden besonders häufig beanstandet?

Häufige Mängel betreffen unzureichende Regelungen zur Einbindung von Subunternehmern, fehlende oder zu allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen, unklare Weisungsbefugnisse, fehlende Unterstützungspflichten des Auftragsverarbeiters bei Betroffenenrechten und Datenschutzverletzungen sowie mangelnde Regelungen zur Datenlöschung nach Vertragsende.

Wie können kleine Unternehmen den Aufwand für datenschutzkonforme Verträge bewältigen?

Für kleine Unternehmen empfehlen wir einen risikobasierten Ansatz, der sich auf die kritischsten Bereiche konzentriert. Ein modulares Vertragssystem mit Grundbausteinen, die für verschiedene Anwendungsfälle angepasst werden können, reduziert den Aufwand erheblich. 

Welche Besonderheiten gelten für die Verarbeitung von Gesundheitsdaten in Verträgen?

Gesundheitsdaten fallen unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und unterliegen erhöhten Schutzanforderungen. Verträge müssen spezifische Garantien und Schutzmaßnahmen vorsehen, wie etwa erweiterte Verschlüsselungsstandards, strenge Zugriffskontrollen und besondere Löschkonzepte. Zudem sind oftmals spezialgesetzliche Regelungen wie das Patientengeheimnis oder berufsrechtliche Verschwiegenheitspflichten vertraglich abzubilden.

Wann ist der beste Zeitpunkt, um professionelle Unterstützung bei der Vertragsgestaltung einzuholen?

Idealerweise sollte rechtliche Expertise bereits in der Planungsphase neuer Geschäftsprozesse oder Kooperationen einbezogen werden. Der präventive Ansatz ist deutlich kosteneffizienter als die nachträgliche Anpassung bereits implementierter Prozesse. Besonders dringend ist professionelle Unterstützung bei internationalen Datentransfers, der Verarbeitung sensibler Daten, nach Erhalt einer Abmahnung oder bei behördlichen Anfragen.

Kontakt aufnehmen

Linkliste

Nach oben scrollen