datenschutzvereinbarung zwischen unternehmen

Datenschutzvereinbarung zwischen Unternehmen

/ Allgemein, Datenschutz

Warum Datenschutzvereinbarungen zwischen Unternehmen unverzichtbar sind

In der heutigen vernetzten Geschäftswelt arbeiten Unternehmen intensiv mit externen Dienstleistern, Kooperationspartnern und Technologieanbietern zusammen. Ob Hosting-Services, Cloud-Anbieter oder andere digitale Lösungen – bei fast jeder Zusammenarbeit fließen personenbezogene Daten von einem Unternehmen zum anderen.

Diese Datenweitergabe ist nicht nur ein technischer Vorgang, sondern ein rechtlich hoch relevanter Prozess. Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an den Umgang mit personenbezogenen Daten zwischen Unternehmen. Verstöße können existenzbedrohende Sanktionen zur Folge haben.

Die Komplexität liegt dabei nicht nur in der reinen Vertragsgestaltung, sondern vor allem in der korrekten rechtlichen Einordnung der Geschäftsbeziehung. Handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO oder um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO? Diese Unterscheidung ist entscheidend für die Verteilung von Pflichten, Verantwortlichkeiten und Haftungsrisiken.

Unternehmen, die diese rechtlichen Grundlagen nicht beachten, riskieren nicht nur Bußgelder, sondern auch Wettbewerbsnachteile und Vertrauensverluste bei Kunden und Geschäftspartnern.

Kontakt aufnehmen
Inhaltsübersicht
  1. Warum Datenschutzvereinbarungen zwischen Unternehmen unverzichtbar sind
  2. Das Wichtigste im Überblick
  3. Rechtliche Grundlagen der Datenschutzvereinbarungen
  4. Auftragsverarbeitungsvertrag vs. gemeinsame Verantwortlichkeit: Die entscheidende Abgrenzung
  5. Vertragsgestaltung bei Auftragsverarbeitung
  6. Vertragsgestaltung bei gemeinsamer Verantwortlichkeit
  7. Praktische Tipps für Unternehmen
  8. Checkliste für Datenschutzvereinbarungen
  9. Rechtssicherheit durch professionelle Vertragsgestaltung
  10. Häufig gestellte Fragen 

Das Wichtigste im Überblick

  • Datenschutzvereinbarungen zwischen Unternehmen sind rechtlich verpflichtend, wenn personenbezogene Daten ausgetauscht oder gemeinsam verarbeitet werden
  • Die Abgrenzung zwischen Auftragsverarbeitungsvertrag und gemeinsamer Verantwortlichkeit entscheidet über die rechtlichen Pflichten und Haftungsrisiken
  • Fehlende oder unvollständige Vereinbarungen können zu Bußgeldern führen

Rechtliche Grundlagen der Datenschutzvereinbarungen

Die DSGVO als Rechtsrahmen

Die Datenschutz-Grundverordnung bildet den zentralen Rechtsrahmen für den Datenschutz in der Europäischen Union. Für Datenschutzvereinbarungen zwischen Unternehmen sind insbesondere die Artikel 26 und 28 DSGVO von Bedeutung.

Art. 26 DSGVO – Gemeinsam für die Verarbeitung Verantwortliche: regelt Situationen, in denen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. In diesem Fall müssen sie in einer Vereinbarung transparent festlegen, wer welche Verpflichtungen nach der DSGVO erfüllt.

Art. 28 DSGVO – Auftragsverarbeiter: behandelt dagegen Konstellationen, in denen ein Verantwortlicher einen Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt. Hier liegt die Entscheidungsgewalt über Zweck und Mittel der Verarbeitung allein beim Verantwortlichen.

Bundesdatenschutzgesetz als Ergänzung

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO um nationale Regelungen. Besonders relevant für Unternehmen sind die Bestimmungen zur Benennung von Datenschutzbeauftragten und Verarbeitungen zu journalistischen Zwecken.

Auftragsverarbeitungsvertrag vs. gemeinsame Verantwortlichkeit: Die entscheidende Abgrenzung

Auftragsverarbeitung nach Art. 28 DSGVO

Bei der Auftragsverarbeitung handelt ein Dienstleister (Auftragsverarbeiter) ausschließlich auf Weisung des Auftraggebers (Verantwortlicher). Der Auftragsverarbeiter hat keinen eigenen Zweck für die Datenverarbeitung und kann nicht eigenständig über die Art und Weise der Verarbeitung entscheiden.

Typische Merkmale der Auftragsverarbeitung:

  • Der Auftragsverarbeiter handelt ausschließlich auf dokumentierte Weisungen
  • Zweck und wesentliche Mittel der Verarbeitung werden vom Verantwortlichen festgelegt
  • Der Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen
  • Die Daten werden nach Beendigung des Auftrags zurückgegeben oder gelöscht

Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

Bei der gemeinsamen Verantwortlichkeit legen zwei oder mehr Parteien gemeinsam die Zwecke und wesentlichen Mittel der Verarbeitung fest. Beide Parteien verfolgen dabei eigene Interessen und haben Entscheidungsgewalt über bestimmte Aspekte der Datenverarbeitung.

Typische Merkmale der gemeinsamen Verantwortlichkeit:

  • Beide Parteien legen Zwecke und wesentliche Mittel gemeinsam fest
  • Jede Partei verfolgt eigene Interessen bei der Datenverarbeitung
  • Die Entscheidungsgewalt ist zwischen den Parteien aufgeteilt
  • Beide Parteien können direkt von betroffenen Personen in Anspruch genommen werden

Abgrenzungskriterien in der Praxis

Die Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit ist oft komplex und erfordert eine sorgfältige Analyse der konkreten Umstände.

Entscheidende Fragen:

  • Wer bestimmt den Zweck der Datenverarbeitung?
  • Wer legt die wesentlichen Mittel der Verarbeitung fest?
  • Hat der Dienstleister ein eigenes Interesse an der Datenverarbeitung?
  • Kann der Dienstleister eigenständige Entscheidungen über die Verarbeitung treffen?

Sonderfall: Vermischte Konstellationen In der Praxis treten oft gemischte Konstellationen auf, bei denen für verschiedene Verarbeitungsvorgänge unterschiedliche Rechtsverhältnisse bestehen. Ein Cloud-Anbieter kann beispielsweise gleichzeitig Auftragsverarbeiter für die Datenspeicherung und gemeinsam Verantwortlicher für die Bereitstellung von Analysedaten sein.

Vertragsgestaltung bei Auftragsverarbeitung

Pflichtinhalte nach Art. 28 DSGVO

Ein Auftragsverarbeitungsvertrag muss mindestens folgende Inhalte enthalten:

Gegenstand und Dauer der Verarbeitung: Der Vertrag muss präzise beschreiben, welche Daten zu welchem Zweck und für welchen Zeitraum verarbeitet werden. Allgemeine Formulierungen sind unzureichend.

Art und Zweck der Verarbeitung: Die spezifischen Verarbeitungsvorgänge (Erhebung, Speicherung, Übermittlung, Löschung) müssen konkret benannt werden.

Kategorien personenbezogener Daten: Der Vertrag muss die Arten der verarbeiteten Daten aufführen (z.B. Kontaktdaten, Vertragsdaten, Zahlungsdaten).

Kategorien betroffener Personen: Es muss definiert werden, welche Personengruppen betroffen sind (z.B. Kunden, Mitarbeiter, Interessenten).

Pflichten und Rechte des Verantwortlichen: Der Vertrag muss die Weisungsbefugnis des Verantwortlichen und die Grenzen der Verarbeitung festlegen.

Technische und organisatorische Maßnahmen

Ein zentraler Bestandteil jedes Auftragsverarbeitungsvertrags ist die Beschreibung der technischen und organisatorischen Maßnahmen.

Zugangskontrollen: Maßnahmen zur Verhinderung unbefugter Zugriffe auf Datenverarbeitungsanlagen müssen detailliert beschrieben werden.

Zugriffskontrollen: Regelungen zur Verhinderung unbefugter Nutzung von Datenverarbeitungssystemen sind erforderlich.

Weitergabekontrollen: Maßnahmen zur Verhinderung unbefugter Übermittlung, Kopie oder Kenntnisnahme personenbezogener Daten müssen definiert werden.

Eingabekontrollen:  Verfahren zur Nachverfolgung von Dateneingaben, -änderungen und -löschungen sind zu beschreiben.

Unterauftragsverarbeitung

Wenn der Auftragsverarbeiter weitere Dienstleister einsetzen möchte, muss dies vertraglich geregelt werden. Der Verantwortliche muss einer Unterauftragsverarbeitung ausdrücklich zustimmen oder diese generell genehmigen.

Genehmigungsverfahren: Der Vertrag muss ein klares Verfahren für die Genehmigung von Unterauftragsverarbeitern vorsehen.

Durchgriffshaftung: Der Auftragsverarbeiter bleibt auch bei Einschaltung von Unterauftragsverarbeitern gegenüber den Verantwortlichen voll verantwortlich.

Vertragsgestaltung bei gemeinsamer Verantwortlichkeit

Vereinbarung nach Art. 26 DSGVO

Bei gemeinsamer Verantwortlichkeit müssen die beteiligten Parteien eine Vereinbarung treffen, die transparent festlegt, wer welche Verpflichtungen nach der DSGVO erfüllt.

Aufteilung der Verantwortlichkeiten: Die Vereinbarung muss klar regeln, welche Partei für welche Aspekte der Datenverarbeitung verantwortlich ist:

  • Rechtsgrundlage der Verarbeitung
  • Information der betroffenen Personen
  • Gewährleistung der Betroffenenrechte
  • Datenschutz-Folgenabschätzung
  • Meldung von Datenschutzverletzungen

Datenschutzrechtliche Pflichten Jede Partei muss die für ihren Verantwortungsbereich geltenden Datenschutzpflichten erfüllen:

  • Datenschutzgrundsätze 
  • Rechtmäßigkeit der Verarbeitung 
  • Transparenz und Information 
  • Betroffenenrechte 

Interne Aufteilung vs. externe Haftung: Wichtig ist die Unterscheidung zwischen der internen Aufteilung der Verantwortlichkeiten und der externen Haftung. Gegenüber betroffenen Personen haften alle gemeinsam Verantwortlichen als Gesamtschuldner.

Betroffenenrechte bei gemeinsamer Verantwortlichkeit

Anlaufstelle für betroffene Personen: Die Vereinbarung muss eine klare Anlaufstelle für Anfragen betroffener Personen benennen. Diese kann bei einer der Parteien oder bei einer gemeinsamen Stelle liegen.

Auskunftsrecht: Betroffene Personen haben das Recht, von jeder der gemeinsam verantwortlichen Stellen Auskunft über die Verarbeitung ihrer Daten zu erhalten.

Löschungsansprüche: Bei Löschungsansprüchen muss geklärt werden, welche Partei für die Löschung zuständig ist und wie diese koordiniert wird.

Haftungsverteilung

Gesamtschuldnerische Haftung: Gegenüber betroffenen Personen haften alle gemeinsam Verantwortlichen als Gesamtschuldner. Eine Person kann ihre Ansprüche gegen jede der Parteien geltend machen.

Interne Haftungsverteilung: Die Vereinbarung sollte eine interne Haftungsverteilung vorsehen, um bei Schadensersatzansprüchen eine gerechte Aufteilung zu ermöglichen.

Versicherungsschutz: Bei gemeinsamer Verantwortlichkeit sollte der Versicherungsschutz für Datenschutzverletzungen überprüft und gegebenenfalls angepasst werden.

Praktische Tipps für Unternehmen

Vorbereitung der Vertragsverhandlungen

Datenfluss-Analyse: Vor Vertragsverhandlungen sollten Unternehmen eine detaillierte Analyse ihrer Datenflüsse durchführen. Welche Daten werden an welche Dienstleister übermittelt? Zu welchem Zweck? In welchem Umfang?

Rechtliche Einordnung: Die rechtliche Einordnung der geplanten Zusammenarbeit sollte frühzeitig erfolgen. Handelt es sich um Auftragsverarbeitung oder gemeinsame Verantwortlichkeit? Diese Frage entscheidet über die Art der erforderlichen Vereinbarung.

Verhandlungsposition stärken: Unternehmen sollten ihre Verhandlungsposition durch gründliche Vorbereitung stärken. Welche datenschutzrechtlichen Anforderungen sind nicht verhandelbar? Welche Flexibilität besteht bei der Vertragsgestaltung?

Due Diligence bei Dienstleistern

Datenschutz-Compliance prüfen: Vor der Beauftragung eines Dienstleisters sollte dessen Datenschutz-Compliance geprüft werden. Verfügt der Dienstleister über angemessene technische und organisatorische Maßnahmen? Wurden bereits Datenschutzverletzungen gemeldet?

Zertifizierungen und Standards: Branchenspezifische Zertifizierungen können Hinweise auf die Datenschutz-Compliance eines Dienstleisters geben.

Referenzen und Erfahrungen: Erfahrungen anderer Unternehmen mit dem Dienstleister können wertvolle Informationen über dessen Datenschutz-Praxis liefern.

Vertragliche Gestaltungsoptionen

Modular aufgebaute Verträge: Bei komplexen Dienstleistungen empfiehlt sich ein modularer Vertragsaufbau. Verschiedene Services können unterschiedliche datenschutzrechtliche Anforderungen haben.

Flexible Kündigungsklauseln: Bei Änderungen der Rechtslage oder bei Datenschutzverletzungen sollten flexible Kündigungsklauseln die Möglichkeit bieten, die Zusammenarbeit zu beenden.

Kontinuierliche Überwachung: Verträge sollten Mechanismen für die kontinuierliche Überwachung der Datenschutz-Compliance vorsehen.

Dokumentation und Nachweise

Verzeichnis der Verarbeitungstätigkeiten: Alle Datenschutzvereinbarungen müssen im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert werden.

Aufbewahrungsfristen: Datenschutzvereinbarungen sollten über die Dauer der Zusammenarbeit hinaus aufbewahrt werden, um bei Nachfragen von Aufsichtsbehörden oder betroffenen Personen reagieren zu können.

Regelmäßige Überprüfung: Bestehende Vereinbarungen sollten regelmäßig auf ihre Aktualität und Vollständigkeit überprüft werden.

Checkliste für Datenschutzvereinbarungen

Vor Vertragsschluss

Datenfluss-Analyse durchgeführt

  • Welche Daten werden übermittelt?
  • Zu welchem Zweck?
  • In welchem Umfang?

Rechtliche Einordnung geklärt

  • Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
  • Welche Rechtsgrundlage liegt vor?

Dienstleister-Prüfung durchgeführt

  • Datenschutz-Compliance des Dienstleisters
  • Technische und organisatorische Maßnahmen
  • Referenzen und Zertifizierungen

Bei Vertragsgestaltung

Pflichtinhalte berücksichtigt

  • Alle gesetzlichen Mindestanforderungen erfüllt
  • Spezifische Branchenanforderungen beachtet

Technische und organisatorische Maßnahmen definiert

  • Detaillierte Beschreibung der Sicherheitsmaßnahmen
  • Regelmäßige Überprüfung und Anpassung

Betroffenenrechte geregelt

  • Klare Zuständigkeiten definiert
  • Verfahren für Anfragen festgelegt

Haftungsverteilung geklärt

  • Interne und externe Haftung geregelt
  • Versicherungsschutz überprüft

Nach Vertragsschluss

Dokumentation aktualisiert

  • Verzeichnis der Verarbeitungstätigkeiten
  • Datenschutzerklärung angepasst

Mitarbeiter informiert

  • Schulungen durchgeführt
  • Arbeitsanweisungen aktualisiert

Überwachung implementiert

  • Regelmäßige Überprüfung der Compliance
  • Incident-Response-Verfahren etabliert

Rechtssicherheit durch professionelle Vertragsgestaltung

Datenschutzvereinbarungen zwischen Unternehmen sind weit mehr als bloße Formalitäten. Sie bilden das rechtliche Fundament für eine DSGVO-konforme Zusammenarbeit und können bei fehlerhafter Gestaltung zu erheblichen Haftungsrisiken führen.

Die Komplexität liegt dabei nicht nur in der Vertragsgestaltung selbst, sondern bereits in der korrekten rechtlichen Einordnung der Geschäftsbeziehung. Die Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit erfordert eine sorgfältige Analyse der konkreten Umstände und hat weitreichende Auswirkungen auf die Verteilung von Pflichten und Haftungsrisiken.

Unternehmen sollten daher nicht nur bei der Erstgestaltung, sondern auch bei der regelmäßigen Überprüfung ihrer Datenschutzvereinbarungen sorgfältig vorgehen. Die Rechtslage entwickelt sich kontinuierlich weiter, und was heute rechtssicher erscheint, kann morgen bereits überholt sein.

Wer als Unternehmer mit komplexen Datenverarbeitungsstrukturen arbeitet oder regelmäßig neue Geschäftsbeziehungen eingeht, sollte sich frühzeitig fachkundigen Rat holen. Die Investition in eine professionelle Beratung zahlt sich oft schon durch die Vermeidung des ersten Bußgeldes aus.

Die Zukunft des Datenschutzrechts wird von neuen Technologien und sich wandelnden Geschäftsmodellen geprägt sein. Unternehmen, die bereits heute auf rechtssichere Datenschutzvereinbarungen setzen, sind für diese Entwicklungen besser gerüstet und können Wettbewerbsvorteile realisieren.

Häufig gestellte Fragen 

Was ist der Unterschied zwischen einem Auftragsverarbeitungsvertrag und einer Vereinbarung zur gemeinsamen Verantwortlichkeit?

Bei einem Auftragsverarbeitungsvertrag handelt der Dienstleister ausschließlich auf Weisung des Auftraggebers und hat keinen eigenen Zweck für die Datenverarbeitung. Bei gemeinsamer Verantwortlichkeit verfolgen beide Parteien eigene Zwecke und legen gemeinsam die Mittel der Verarbeitung fest.

Wann liegt eine gemeinsame Verantwortlichkeit vor?

Eine gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Parteien gemeinsam über die Zwecke und die wesentlichen Mittel der Verarbeitung entscheiden. Entscheidend ist, dass beide Parteien Einfluss auf die Verarbeitung haben und eigene Interessen verfolgen.

Welche Strafen drohen bei fehlenden Datenschutzvereinbarungen?

Bei Verstößen gegen die Pflicht zum Abschluss von Datenschutzvereinbarungen können Bußgelder verhängt werden.

Müssen Auftragsverarbeitungsverträge schriftlich geschlossen werden?

Ja, Auftragsverarbeitungsverträge müssen nach Art. 28 DSGVO schriftlich oder in einem anderen rechtlich gleichwertigen Format (z.B. elektronisch) geschlossen werden. Mündliche Vereinbarungen sind nicht ausreichend.

Kann ein Dienstleister gleichzeitig Auftragsverarbeiter und gemeinsam Verantwortlicher sein?

Ja, das ist möglich. In der Praxis treten oft gemischte Konstellationen auf, bei denen für verschiedene Verarbeitungsvorgänge unterschiedliche Rechtsverhältnisse bestehen. Wichtig ist die klare Abgrenzung der verschiedenen Bereiche im Vertrag.

Wer haftet bei gemeinsamer Verantwortlichkeit gegenüber betroffenen Personen?

Bei gemeinsamer Verantwortlichkeit haften alle Beteiligten als Gesamtschuldner gegenüber betroffenen Personen. Eine betroffene Person kann ihre Ansprüche gegen jede der gemeinsam verantwortlichen Parteien geltend machen.

Wie oft müssen Datenschutzvereinbarungen überprüft werden?

Eine gesetzliche Frist für die Überprüfung gibt es nicht. Empfehlenswert ist eine jährliche Überprüfung oder bei wesentlichen Änderungen der Geschäftstätigkeit oder Rechtslage. Bei kritischen Verarbeitungen sollte häufiger geprüft werden.

Was passiert bei Datenschutzverletzungen des Dienstleisters?

Bei Auftragsverarbeitung muss der Auftragsverarbeiter den Verantwortlichen unverzüglich über Datenschutzverletzungen informieren. Die Meldung an die Aufsichtsbehörde und die Information betroffener Personen obliegt den Verantwortlichen.

Sind Standardvertragsklauseln für Datenschutzvereinbarungen ausreichend?

Standardvertragsklauseln können eine passable Lösung bilden. Es sollte jedoch geprüft werden, ob sich darin die spezifischen Umstände der Geschäftsbeziehung widerspiegeln. Pauschale Lösungen sind oft nicht ausreichend und können rechtliche Risiken bergen.

Wie kann die Einhaltung von Datenschutzvereinbarungen überwacht werden?

Die Überwachung kann durch regelmäßige Audits, technische Kontrollen, Berichte des Dienstleisters und Stichprobenkontrollen erfolgen. Wichtig ist die Dokumentation aller Überwachungsmaßnahmen für den Nachweis der Compliance.

Kontakt aufnehmen
Nach oben scrollen