Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können. Indem Sie diese Website nutzen, erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Bitte lesen Sie unseren DATENSCHUTZERKLÄRUNG. Dort erfahren Sie mehr über die von uns verwendeten Cookies und wie Sie diese löschen oder blockieren können.
Aktuelles:

Die EU-Datenschutz-Grundverordnung kommt – was passiert mit bestehenden Vertragsverhältnissen?

13 Februar 2018

Ab dem 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union unmittelbar anwendbar sein und die Verarbeitung personenbezogener Daten neu regeln.

Was bedeutet dies für bereits bestehenden Vertragsbeziehungen? Müssen solche Altverträge an die Vorschriften der DSGVO angepasst werden? Wir stellen relevante Fallkonstellationen im Folgenden überblicksartig dar, um Ihnen Anhaltspunkte für einen etwaigen Handlungsbedarf zu geben.

Datenschutzbeauftrage

Was passiert mit den bereits bestellten Datenschutzbeauftragten von Unternehmen? Die gute Nachricht lautet: Sie können nach Anwendbarkeit der DSGVO im Amt bleiben.

Bitte beachten Sie allerdings, dass Sie nach Art. 37 Abs. 7 DSGVO der zuständigen Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten mitteilen müssen. Dies gilt auch für solche Datenschutzbeauftragte, die vor dem 25. Mai 2018 bestellt wurden. Zudem müssen Sie die Kontaktdaten des Datenschutzbeauftragten gem. Art. 37 Abs. 7 DSGVO auf Ihrer Webseite veröffentlichen.

Einwilligungen

Viele Unternehmen verarbeiten personenbezogene Daten ihrer Kunden und Mitarbeiter auf der Basis von Einwilligungen. Nach herrschender Auffassung müssen solche Alt-Einwilligungen ab Anwendbarkeit der DSGVO nicht neu eingeholt werden. Dies gilt zumindest dann, wenn die Alt-Einwilligungen den Vorgaben des derzeit noch geltenden Bundesdatenschutzgesetzes (BDSG) entsprechen.

Unsere Beratungspraxis zeigt jedoch: Viele Einwilligungen sind unter dem noch aktuell geltenden BDSG unwirksam. Häufig sind Einwilligungen nämlich zu pauschal gefasst. Somit lohnt es sich, Ihre in der Vergangenheit verwendeten Einwilligungsmuster zu prüfen. Sollte sich ergeben, dass danach erteilte Einwilligungen auch unter dem derzeit geltenden BDSG unwirksam sind, besteht Handlungsbedarf.

Daneben ist es ratsam, die bereits erteilten Einwilligungserklärungen – so noch nicht geschehen - sauber abzulegen und zu dokumentieren. Denn unter der DSGVO gilt der Grundsatz der Rechenschaftspflicht. Dazu gehört auch die Einrichtung eines Einwilligungsmanagements.

Betriebsvereinbarungen

Ebenso wie Einwilligungen können gem. Art. 88 DSGVO und § 26 Abs. 4 BDSG-neu Betriebsvereinbarungen Grundlage für die Verarbeitung personenbezogener Daten von Mitarbeitern sein.  Insoweit ändert sich die Rechtslage im Vergleich zum derzeit geltenden BDSG nicht. Gem. Art. 88 Abs. 2 DSGVO müssen Betriebsvereinbarungen allerdings angemessene und besondere Maßnahmen umfassen, die der Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person dienen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.

Bestehende Betriebsvereinbarungen müssen also daraufhin überprüft werden, ob sie diese Anforderungen erfüllen. Ist dies nicht der Fall, können sie nicht mehr als Grundlage für die Datenverarbeitung dienen.

Verträge zur Auftragsdatenverarbeitung

Unter einem Auftragsdatenverarbeitungsvertrag versteht man einen Vertrag zwischen zwei Parteien (dem Verantwortlichen und dem Auftragsverarbeiter) über die Weitergabe personenbezogener Daten durch den Verantwortlichen an den Auftragsverarbeiter zur Verarbeitung durch diesen.

Im derzeitigen BDSG sind die Vorgaben hierzu in § 11 niedergelegt. Im Wesentlichen ähneln die Vorgaben der DSGVO dem bisherigen. Neu hinzugekommen sind aber beispielsweise die Unterstützungspflichten des Auftragsverarbeiters bei der Datenschutz-Folgenabschätzung. Somit müssen bestehende Verträge an diese neuen Anforderungen angepasst werden.

Allein aufgrund des hohen Bußgeldes bei Verletzungen der DSGVO-Vorgaben für die Auftragsverarbeitung (bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des Vorjahres, je nachdem, welcher der Beträge höher ist) sollten die Anpassungen noch vor dem 25. Mai 2018 vorgenommen werden.

Datenschutz-Folgeabschätzungen

Das derzeitige BDSG kennt für bestimmte automatisierte Verarbeitungen personenbezogener Daten die sog. Vorabkontrolle. In der DSGVO wird diese durch die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO abgelöst. Die Datenschutz-Folgenabschätzung ist allerdings nicht nur bei automatisierten Datenverarbeitungsverfahren anzuwenden, sondern bei allen Verarbeitungen personenbezogener Daten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Für am 25. Mai 2018 bereits bestehende Verarbeitungstätigkeiten sieht die DSGVO allerdings nicht vor, dass eine Datenschutz-Folgeabschätzung nachzuholen wäre. Erst bei einer wesentlichen Änderung der bestehenden Verarbeitungstätigkeit ist zu prüfen, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.

Informationspflichten

Information ist unter der DSGVO Trumpf: Jeder Betroffene soll umfangreich darüber informiert werden, wie seine personenbezogenen Daten verarbeitet werden. Der Katalog der vor Beginn der Datenverarbeitung zu erteilenden Einzelinformationen geht in Art. 13 und 14 DSGVO deutlich über das hinaus, was bislang das BDSG zur Informationserteilung vorsieht.

Grundsätzlich gilt allerdings, dass die nach der DSGVO verpflichtend zu erteilenden Informationen für Altverträge nicht nachgeholt werden müssen. Bei jeder neuen Datenerhebung ist den Informationspflichten aber zu entsprechen.

Verpflichtung auf das Datengeheimnis

Eine Verpflichtung der Mitarbeiterinnen und Mitarbeiter eines Unternehmens auf das Datengeheimnis, wie sie das BDSG derzeit noch in § 5 vorsieht, kennen weder die DSGVO noch das neue BDSG.

Dennoch ist es auch zukünftig nützlich, die Mitarbeiter auf die Einhaltung der datenschutzrechtlichen Vorschriften zu verpflichten. Denn so können Sie Ihre Dokumentations- und Nachweispflichten nach Art. 5 Abs. 2 DSGVO erfüllen.

Nicht alles neu macht der Mai  - Handlungsbedarf kann sich trotzdem ergeben

Vieles von dem, was die DSGVO ab dem 25. Mai 2018 verlangt, lässt die zu diesem Zeitpunkt bereits bestehenden Vertragsverhältnisse unberührt. Soweit im Einzelfall aber doch Anpassungsbedarf an die Anforderungen der DSGVO besteht, beraten wir Sie gerne und ermitteln mit Ihnen gemeinsam den notwendigen Handlungsbedarf. Sprechen Sie uns einfach an.