Zur Navigation springen Zum Inhalt springen Zum Footer springen

Was passiert, wenn der Auftragsverarbeitungsvertrag eine unwirksame Klausel gemäß DSGVO enthält?

(1)

Datenschutzgrundverordnung und fehlerhafte Auftragsverarbeitung

Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wurden zwischen Unternehmen eine Vielzahl von Auftragsverarbeitungsverträgen „hin und her“ geschickt. Es stellt sich die Frage also: „Soll ich einen solchen Vertrag prüfen lassen oder einfach unterschreiben“? Diese Frage kann nur der sinnvoll beantworten, der die Risiken eines fehlenden oder rechtswidrigen Auftragsbearbeitungsvertrages kennt.

Kein Auftragsbearbeitungsvertrag führt zu Bußgeld

Die Hektik, die durch das Inkrafttreten der DSGVO entstanden ist, führte dazu, dass nahezu jeder Unternehmer jedem Unternehmer zu dem er Geschäftskontakt pflegte, einen Auftragsverarbeitungsvertrag geschickt hat. Frei nach dem Motto, „sicher ist sicher und ich habe lieber einen solchen Vertrag als keinen“. Wie in vielen Lebenslagen, kann sich das als sehr gefährlich und vor allem teuer erweisen. Da wo kein Auftragsverhältnis besteht, ist auch kein Auftragsbearbeitungsvertrag notwendig. Um feststellen zu können, ob ein solches besteht, ist es wichtig zu verstehen, wer Verantwortlicher und wer Auftragsverarbeiter ist.

Verantwortlicher und Auftragsverarbeiter

Die Rollen sind in Art. 4 DSGVO legal definiert

Nr. 7 „Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Nr. 8 „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

Wenn ich also einen Vertragspartner habe, der mir beispielsweise Getränke liefert und er hier für personenbezogenen Daten von meinen Kunden benötigt, dann ist er kein Auftragsverarbeiter. Indem er Getränke liefert, führt er seine vertragliche Leistung aus. Ich kann ihm schwerlich die Zwecke und Mittel der Verarbeitung vorgeben. Ein Auftragsverarbeitungsvertrag ist also nicht notwendig. Habe ich dennoch einen solchen abgeschlossen, dann hat unter Umständen der Auftraggeber weitgehende Kontrollrechte über den Auftragnehmer sowie Informationspflichten. Dies kann je nach Vertragsverhältnis oder geschäftliche Beziehung nachteilig für die eine Partei und positiv für die anderen sein. Wir Juristen raten generell dazu, dass wenn etwas nicht notwendig ist, es auch nicht gemacht werden sollte, es sei denn man verspricht sich dadurch einen Vorteil.

Die DSGVO ist aber sehr jung und eine Rechtsprechung existiert hierzu nicht. Damit sind die Rollen Auftragsverarbeiter und Verantwortlicher nicht geklärt. Ich denke aber, dass es im Rahmen eines Bußgeldverfahrens häufig auf die Begründung ankommt, warum ein Auftragsverarbeitungsverhältnis angenommen wurde oder auch nicht. Dies wird sich auf den Bußgeldrahmen auswirken. Es ist also noch nichts in Stein gemeißelt.

Fehlerhafte Auftragsbearbeitungsvertrag für zu Bußgeld

Wenn ich einen Auftragsbearbeitungsvertrag abgeschlossen habe und dieser enthält eine fehlerhafte bzw. rechtswidrige Klausel, so kann dies zu einem Bußgeld führen. Damit ist natürlich die Frage beantwortet, ob ich einen solchen Vertrag prüfen lassen sollte. Wer kein Bußgeld riskieren will, sollte selbstverständlich diesen Vertrag überprüfen. In vielen Mustervorlagen für Auftragsverarbeitungsverträge ist beispielsweise geregelt, dass der Auftragnehmer weitere Unterauftragnehmer generell einsetzen kann und auf Anfrage des Auftraggebers diese benennen kann. Das steht im Widerspruch zu Art. 28 DSGVO. Dies wäre eine rechtswidrige Klausel, die unter Umständen zu einem Bußgeld führen kann.

Daraus folgt, dass auch in der Hektik abgeschlossene Auftragsbearbeitungsvertrag, auch heute noch auf ihre Konformität mit der DSGVO überprüft werden sollten und gegebenenfalls über eine Anhang/Annex problematische Punkte neu geregelt werden.

Sollten Sie Fragen rund um das Datenschutzrecht haben für Sie mich jederzeit telefonisch oder per E-Mail erreichen.


Rechtstipp vom 14.09.2018
aus der Themenwelt Marketing und Internet und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Tsanko Kalchev (T.K. Legal)

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.